木马是黑客最常用的攻击方法,因此,在本章中将使用较大篇幅来介绍木马的攻防技术。木马的危害性在于它对计算机系统有强大的控制和破坏能力,同时有窃取密码、控制系统操作、进行文件操作等功能,一台计算机一旦被一个功能强大的木马植入,攻击者就可以像操作自己的计算机一样控制这台计算机,甚至可以近程监控这台计算机上的所有操作。
在本章开始之前,不妨先来看一个经典黑客盗号所需要实现的步骤。
木马的杀除和预防
现在检测木马的手段主要是通过网络连接和查看系统进程,事实上一些技术高明的木马编写者完全可以通过合理的隐藏通信和进程使木马很难被检测到。
防火墙是抵挡木马入侵的最好途径,绝大多数木马都是必须采用直接通信的方式进行连接,虽然它们可以采用一定的方式隐藏这种连接,如只有在收到攻击者特殊数据封包时才启动木马打开通信端口,连接完毕后木马则马上进入休眠状态。
尽管如此,防火墙有时对于一些技术高明的木马也无能为力,如寄生在Http端口上的术马-还有一种是与木马正常控制程序相反的木马,它是通过木马向外面的端口发送数据,比如它发一个数据到一个主机的80端口,任何防火墙都不可能阻塞这种数据封包请求,要不然整个系统就不用上网浏览网页了。
4.1使用TrojanRemover清除木马
作为一种清除木马的常用工具,TrojanRemover的特点是简单易用、操作简便,并且检测和清除木马的功能也比较强。
下下面以TrojanRemover6.0为例来介绍TrojanRem。ver的使用方法。
①3-54即为TroianRemover6.0的主窗口界面,单击Scan按钮后即可开始扫描当前的计算机,检测是否有木马服务端程序存在,3-55
②如果完成检测之后TrojanRemover发现了木马的服务端程序,则会给出相应提示。
③运行完成后3-56,单击该对话框中的ViewLog按钮,即可查看本次扫描的结果记录,3-57。
4.2使用BoDetect检测和清除B02K木马
BoDetect是一个检测和清除BO木马的工具,下面来简单介绍一下它的使用方法。
①BoDetect运行后的主窗口界面3-58,在打开BoDetect3.5窗口时.BoDetect将自动检测系统中是否存在BO木马,并把检测到的BO木马显示在第一个选项卡的列表中。
②在检测到存在木马之后,只要单击第一个选项卡中Remove按钮,就可以清除掉列表中的所有BO木马了。
③如果在清除掉系统中的BO木马之后再次打开BoDetect,则会弹出一个提示对话框,而BoDetect主窗口将不再显示。至此,清除BO木马的操作就已经完成了。
实际LBoDetect是将那些被清除的BO木马加上.BOD扩展名后转移到了BoDe.mct自己的目录下,如B02K.EXE.BOD就是转移后的B02K木马程序。同时.BoDetecL还修复了被BO木马修改的注册表。也可以在BoDetect的Options选项卡中设置BoDetcct的属性,3-59。
在BoDetect的ProgramStatusandUpdates选项卡中可以看到被转移和重命名的B02K木马,选中InfectedFiles列表中的B02KEXE.BOD,如果单击Restore按钮则会出现提示对话框,单击对话框中的OK按钮即可将B02K木马还原。就像重新运行了程序B02K.EXE一样;如果单击Cancel按钮则会出现删除文件提示对话框,单击OK按钮后文件B02K.EXE.BOD将会被删除。
4.3使用“木马克星”来清除木马
“木马克星”是专门针对国产木马的软件,是动态监视网络与静态特征扫描的完美结合.只要它运行在内存中,就要不停的令CPU执行它的指令,无论任何情况下,均占用,个CPU进程,采用监视硬盘技术,不占用CPU负荷。
下面以“木马克星5.47”为例来介绍一下其摹本的使用方法.具体操作步骤如下:
①下载完成后.即可开始安装本软件,3-60即为其安装向导的欢迎界面。
②单击【下一步】按钮,进入3-61的【许可协议】对话框。选中【我同意此协议】复选框之后,继续单击【下一步】按钮。
③在3-62的【选择目标位置】对话框中,设置目标文件的安装位置,然后继续单击【下一步】按钮,进入3-63的【选择开始菜单文件夹】对话框。
④单击【下一步】按钮之后,将进A3-64的【准备安装】对话框,单击安装按钮,安装完成之后将出现3-65的对话框,单击完成按钮即可完成安装。
⑤安装完成之后,打开IPmor,其主界面窗口3-66。单击主窗口中的【扫描硬盘】按钮,就可以开始扫描当前计算机是否有木马程序存在了,3-67。
⑧在检测完成后,如果发现了木马的服务端程序,就会给出提示,运行完成后3-68。单击【系统进程】按钮,就可以查看本次扫描的结果记录了,3-69。
4.4如何使用TheCleaner来清除木马
TheCleanerProfessional可查杀各种木马、蠕虫、键盘记录机、间谍程序等,包括Oeanef、TCActive、TCMonitor等组件,其中Cleaner专门查杀木马等病毒,TCActive用来显示当前正在逛行的所有进程,TCMonitor负责后台监视系统文件和注册表是否被修改,如果发现被修改即报警。
其清除木马的具体操作如下:
①安装TheCleaner的方法同一般的软件安装类似,基本就是根据安装向导的提示一路单击Next按钮。
②完成安装之后,在TheCleaner的工具中,选择TheCleaner主程序之后,就可以打开3-70的TheCleaner主窗口了。
◎可以从主窗口的File菜单中选择需要扫描的磁盘分区。一般术马程序都安装在C盘中,因此主要对C盘进行扫描即可。在选中要扫描的磁盘分区后,单击OK按钮即可打开扫描对话框,3-71,同时扫描开始。
④如果扫描到系统中存在木马,TheOeaner则将其显示在木马列表中。扫描结束之后,单击CleanA11按钮即可清除所有扫描到的木马。
⑤TheCleaner还专门设计了一个像病毒数据库一样的木马数据库,用以解决清除术马程序很有可能扫描不到新木马的问题,有专业人员来负责对该木马数据库进行维护。这样,用户就可以从网上下载和更新自己的木马数据库了。
这时在TCMoniLor的主窗口中就可以看到一个注册表主键的列表,在该列表中,列出了最容易被木马修改的注册表主键,当TCMonitor运行之后,就会时刻监视该列表中的注册表主键,只要这些主键下的内容发生变化.TCMon.itor就会给出警告。
用户如果在TCAcLive!的进程列表中选择某个进程,然后单击鼠标右键,并且选择快捷菜单中的Terminate命令,即可结束该进程。
4.5使用LockDown2000防火墙防范木马
LockDown2000I-rofessional是一款针对专业用户的防火墙,下面就来简单讲述如何使用LockDown2000防火墙来防范木马和对计算机进行安全保护。
具体操作步骤如下:
①启动LockDown2000之后,将首先看到它的Menu界面,3173。除去Menu之外,总共有l3个功能模块,涉及到网络安全的方方面面。其中TrojanScanner(木马扫描器)在ManuaScanner&Options中可详细进行设置,3-74。
将Monitorandauto-scaninbackground复选框选中后即可时刻监视系统进程(默认的监视路径是“%Windows%”和“%System%”,也可以自己添加更多的目录)。还可以手动扫描本地磁盘来确认机器中是否驻有木马。在ExtensionstoScan中可以手动添加新发现的可疑后缀名。如果发现木马,LockDovm2000会弹出来提示发现木马,同时通过声卡发出报警声,并将此事件写入日志文件。
②VBSInterceptor(VBS拦截机)是用于分析和查杀VBScript脚本的,可以首先扫描磁盘查找所有的VBS脚本,找到后在左边的列表框中选中可疑的脚本,双击即可对其进行自动分析,3-75。
LockDown2000会详细分析目标脚本的源代码,并且得出此脚本的风险度。如果是红色的Severe(高度风险),就要当心了;如果是黄色的Moderate(中度风险)则应单击ViewContents按钮查看它的源代码,3-76。如果证实目标脚本有毒,删除或改名均可。
③Generics(普通设置)是一些简单的对注册表、敏感系统文件的监视功能。用户可以添加自己认为需要监视的文件和注册表键值,如果它们被改写就会用声音和对话框同时报警,3-77。
④ShareMonitor(共享监视器)可以详细列出本机上的共享资源、共享名和共享属性,3-78。其中绿色表示该共享资源是有口令保护的;红色表示该资源没有口令,完全共享;黄色表示该资源完全共享且不可见(应当对黄色的共享资源保持高度警惕)。还可以方便地删除共亭瓷源.使资源在可见和不可见中相互转换,以方便系统管理员的管理。
可以设置IPFilter(IP过滤器)来设定允许访问本地共享资源的IP(比如本公司局域网的用户)和禁止访问共享资源的iP(比如来自Intemet的非法SMB访问),如果有新的不明SMB连接就会报警,3-79。
⑤PorlMonitor(端口监视器)可以详细设置打开的端口号,包括信息出去(OuLgoing)和进来(Incoming)的端口,3-80。默认情况下,PortMonitor如果发现连续5秒钟内收到10个以上的消息框,它就会报警并拒绝接收;同样,5秒钟内发现10个以上的连接,它就会关闭此端口,这对防止ICMP和UDP洪水淹没式的攻击和针对登录口令的穷举都是很有效的。
⑥ConnectionMofutor(连接监视器)可以帮助用户查看目前在自己机器上存在的所有连接,包括连接的机器名、ip端口号和所用的协议,3-81。ProcessMomtor(进程监视器)有点类似于Wmdows2000中的任务管理器,不过它多了一个查看当前进程所调用的动态链接库的功能(目前许多木马已开始将自己隐藏成DLL而偷偷加载了),3-82。
⑦NetUtilities(网络工具包)其实只是一些Winciows中实用工具(如Ping、Tracert.Finger和Whois)的Win32版本而已。而CookieMonitor(Cookie监视器)则是用来监视和分析Cookie的模块,3-83。它能够找到机器上的所有Cookie并将其列入“黑名单”,下次打开CookieMoniror时就会自动删除该站点的Cookie。
⑧NetworkMoIutor(网络监视器)可以实时监视同自己机器连接的其他机器是否关机,3-84。
这样就可以知道自己的网络中还有几台机器连着,以及它们的IP地址和上次登录的时间。WebMonitor(因特阿监视器)是一款用来查看自己经常光顾的网站是否更新的工具,3-85。
⑨BackupUtility(备份工具)可以自定义要备份的注册表键值或者全部备份,除系统文件外,还可以搜索磁盘上所有的uu和bat文件,3-86。而3-87的ProgramAuditor(程序审计员)其实就是给自己机器上安装的所有程序进行Snapshot(快照)。生成程序列表。
其实这13个工具中,最有用的是PorlMonitor。、ShareMonitor、ConnecnonMonitor和TrojanScanner.如果能和Neooray、Iptools,Ws_Ping这些工具合用,完全可以把自己的服务器收拾得像铁桶一样固若金汤。
4.6如何手动清除木马
除了用特殊软件清除木马外,还有一种方法就是手动清除。当然,手动清除的前提是必须对这个木马程序有足够的了解,否则是很难成功清除的。本节以“冰河”为例,演示如何清除一个木马程序。
具体操作步骤如下:
①在【注册袭编辑嚣】窗口中打开HKEYLOCAl一_MACHINE/SOFTWARE\Microsoft\Windows/CurrentVersion\sun,3-88。
②右击其键值项并在3-89的快捷菜单中选择【删除】命令,将其删除。
③打开HKEY_LOCAL_MACHINE\SOFI'WAREIMicrosoft\Windows\CurrenVersion\sunservices,3-90,删除其键值项。
④重新启动计算机,然后到“D\windowsYsyseem32\”目录下直接删除Winoldap.exe开始就删除该文件是不能成功的,因为该程序正在运行。为了检测木马程序是否已被清除,可以在【命令提示符】窗口中输入“netSm-a”命令看看2001端口是否开放,如果没有开放,则表示清除成功。
5.可能出现的问题与解决
木马程序会想尽一切办法隐藏自己,主要途径有:在任务栏中隐藏自己,这是最基本的,只要把Forzi的Visible属性设为False、ShowlnTaskBar设为False,程序运行时就不会出现在任务栏中了:在任务管理器中隐形.将程序设为“系统服务”可以很轻松地伪装自己。
当然,木马程序还会悄无声息地启动.那些木马制造者们当然不会指望用户每次启动后单击木马图标来运行服务端.因此,木马会在每次用户启动时自动装载服务端,Windows系统启动时自动加载应用程序的方法,木马都会用上,如启动组、win.ini、system.ini、注册表等都是木马藏身的好地方。
6.总结与经验积累
其实,木马攻击并不可怕,只要通过防火墙采用适当的规则,即使攻击者想尽办法把木马植入到自己的计算机里面,也是不能做什么破坏的。通常中了木马后,上网速度会变得很慢,因为木马服务器程序占用了过多的网络资源。当有人试图控制时计算机会变得非常慢,如果此时断线,速度会突然快起来。
木马与恶意代码不同,后者只是通过一次简单性地修改注册表来达到自己的目的,而木马则可以占用进程来实施攻击,因此无法单纯地通过修改注册表将其清除掉,而往往需要综合多种手段才能够凑效。
最简单清除木马的方法就是使用专业的木马清除软件,并时刻保证自己的版本为最新;也可以在个别情况下通过手工查找方式以从根源上将其清除。因为木马经常使用的也就是注册表的几个启动予键,因此,只要经常检查这几个子键,及时发现隐患,采取措施,就能够最大限度地御木马于机门之外。
本文内容所提及均为本地测试或经过目标授权同意,旨在提供教育和研究信息,内容已去除关键敏感信息和代码,以防止被恶意利用。文章内提及的漏洞均已修复,作者不鼓励或支持任何形式的非法行为。