危险漫步博客
新鲜的“黑客思维”就是从全新的角度看待黑客技术,从更高的层面去思考;专注于黑客精神及技术交流分享的独立博客。
文章2289 浏览18982102

捕捉潜入系统的不速之客

在使用Windows过程中,从表面上看系统似乎显得很平静,实际上Windows在后台进行着各种繁忙的操作。因此深入了解系统的活动情况,对维护Windows的正常运行就显得很重要了。例如病毒等恶意程序在侵入系统后,往往会对系统进行各种破坏操作,通过对系统“要害部位”进行监控,就可以发现其活动的踪迹,进而让恶意程序彻底“曝光”。使用ID FolderProtector(以下简称IFP)这款免费的系统监视工具,就可以对文件夹、文件、注册表、服务等对象进行深入的监控操作,让您随时了解系统的一举一动。在IFP主界面左侧点击“Options”按钮,在设置窗口中勾选“Auto run when Windowsstarts”项,可以让其跟随系统自动运行。为了加强运行的隐蔽性,最好取消“Show in tray”的选择状态,使其从系统托盘中隐身,在后台悄悄欲行。为了防止别人随意更改IFP配置,可以勾选“PasswordSettings”项,设置管理密码。这样,不知道密码的话,就无法操作IFP。

在IFP主窗口左侧点击"Add folder watch”按钮,在弹出的窗口中可以添加需要监视的文件夹,在“Select Folder to Add”栏中点击浏览按钮,之后点击“Add”按钮即可。按照上述方法,可以添加所有需要监视的文件夹。在窗口底部勾选“Create“/“Delete”/“Modify”/Rename项,表示当有程序在上述文件夹中创建文件、删除文件、修改文件、修改文件名称时,IFP可以自动记录相关操作数据,如果直接点击OK按钮,表示仅仅让IFP执行监视操作。如果点击“Next”按钮,在下一步窗口中的“Select Trigger”栏中点击浏览按钮,选择需要触发的程序点击“Add”按钮将其添加到程序列表中。这样当IFp监视到有其它程序在预设的路径中执行上述操作时,即可自动触发选定的所有程序。文件夹监控功能比较实用,例如可以将系统文件夹设置为监视目标,因为很多恶意程序都喜欢在系统文件夹中“做手脚”,因此可以使用IFP准确的探知恶意程序的行踪。

在IFP主窗口左侧点击“Add file watech”按钮,在弹出窗口的可以设置需要监视的文件,在“SelectFile to Add”栏中点击浏览按钮,选择所需的文件即可。在窗口底部可以设置监控的类型,点击“Next”按钮,可以设置触发的程序,具体的设置方法与上述完全相同。例如现在很多病毒感染文件时,首先会修改系统文件,因此对系统重要文件进行监控,这样可以及时的发现潜在的危险。

注册表在系统中占有重耍的位置,因此也成了恶意程序攻击的首要目标。因此,对注册表重要键值进行监控,就显得非常重要。在IFP主窗口左侧点击“Add registry watch”按钮,在弹出的窗口中的“Registry Path”栏中输入需要监视的注册表路径,例如恶意程序大都喜欢修改注册表启动项,这样便于其自动运行,因此可以将“HKEYLOCAL- MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersionkRun”等启动路径设置为监视目标,点击“Add”按钮完成添加操作。按照上述方法,可以添加任意需要监视的注册表路径。在“WatchType”栏中勾选“Created”项,表示当其它程序在预设的注册表路径创建键值时,IFP可以将相关数据完成记录下来。勾选“Deleted”项,表示当其它程序在预设的注册表路径删除键值时,IFP可以将相关数据完成记录下来。

我们知道,Windows的正常运行和各种系统服务息息相关,因此保护系统的服务“纯洁性”就显得格外重要。在IFP窗口的左侧点击“Add servicewatch”按钮,在弹出窗口中列出所有的系统服务,从中勾选需要监视的系统服务,在“Watch Type”栏中选择“Started”项,表示当预设的服务启动时,激发IFP的监视记录功能,勾选“Stopped”项,表示当预设的服务停止运行时,触发IFP的监视记录功能。因为很多后门程序都采用替换服务的办法,达到非法运行的目的。当其对相关服务进行修改操作时,必然涉及到启动和停止服务的操作,因此您就可以通过FP很容易发现相关信息,从而发现后门程序的行踪。

当设置好以上监视的对象后,在IFP窗口右侧显示您设置的所有监视信息。在“Folder/File”列中显示具体的监视对象,包括文件夹、文件、注册表路径、系统百艮务等。在“Type”栏中显示不同监视对象的类型:在“Wa!tch Type”列中显示监视的相关动作,在“Last Change”列中显示对应监视目标的上次修改时间,在“Log”列中显示相关的日志信息等。

双击对应的监祝对象,在弹出窗口中可以显示该监视对象的详细日志信息,包括目标文件路径、动作类型、文件大小、修改时间、建立时间、相关的账户信息等。当您设置了大量的监视目标后,可以将其保存下来,这样不仅便于以后使用,也便于数据的移植操作,例如可以在其它电脑上安装IFP后,直接导入监视列表等。点击IFP窗口左侧的“Save watch”按钮,输入合适的文件路径,即可将其导出为独立的XML文件。点击IFP窗口左侧的“Open watch”按钮,选择之前导出的监视列表文件,就可以直接将其导入到IFP中了。

相关推荐