IT博客-金华网站建设-义乌网站建设-浙江网站建设-随笔分类-病毒专区

如何杀掉熊猫烧香病毒

网工地带 — Thu, 18 Jan 2007 12:16:00 GMT

1.熊猫烧香病毒：图片就是个熊猫在烧香感觉蛮可爱的！当时并没有很在意！第二天再次打开电脑的时候！几乎电脑所有的EXE文件都成了熊猫烧香图片！这时才有所感觉！部分EXE文件已经无法正常使用！新加一个AUTORUN.INF的文件！
当初不明白这个文件的作用！在网上查了一些资料表明。才知道。只要用户打开盘符。就会运行这个病毒！用杀毒软件杀毒！没有效果！看来现在的杀毒软件越来越不行了~..
2.想用组合键打开任务管理器！无法打开~失败....想看看注册表有没什么情况。依然失败！奇怪的是：电脑运行正常。也都不卡！难道不是病毒.是系统出了问题？从网上下了第三方工具查看进程！果然看到两个可疑进程！FuckJacks.exe貌似是最可疑的不敢贸然终止！
3.先结束FuckJacks.exe进程！开始-运行-CMD 输入：ntsd -c q -p 病毒的PID.
4.注意这个FuckJacks.exe进程是结束了，但是他还有一个守护进程，如果你已经激活的话这个时候注册表全突然关闭。
5.没办法只有找个熊猫烧香病毒用UI32打开熊猫.看到了条用的部分资源！文件执行后。释放到\system32\FuckJacks.exe下,发现熊猫的一些传播过程相当的经典..有扫描同一网段的电脑~自我复制.等等相当强大公能~同时感染所有盘符的EXE文件~却不对一些重要的系统文件和常用文件进行感染！可见并不想早成太大破坏~修改注册表.禁止打开注册表.甚至禁用了部分服务~~
病毒的作者是个非常出色的程序员！有非常好的编程习惯！对病毒的异常运行~进行了很好的定义~都很大段都是作者对病毒运行条件的判断定义~值得注意的一点：在感染EXE文件的同时！感染ASP。HTML文件。会在最后加一段类似挂马的基本代码.~~做到通过第三方尽快传播的办法
病毒程序的运行
简单的修改注册表：
有这样一句：WSHELL.REGWIRTE  MYREGKEY， MYREGVALUE， MY REGTYPE
第一个是参数的键名：完整路径..
第二个是：键值。。
第三个是：键的类型，
Set wshell=wscript.createobject("wscript.shell")
wshell.regWrite"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\windowsNT\
CurrentVersion\Winlogin\shell","eseplorer.exe","REG_SZ"
这就是脚本病毒掼用技术~

　　通用的解决方法
1、就是要关闭自己的默认共享。
首先运行regedit，找到如下组建[HKEY_LOCAL_MACHINE\SYSTEM\
CurrentControlSet\Control\LSA]把
RestrictAnonymous = DWORD的键值改为：00000001。
restrictanonymous REG_DWORD
0x0 缺省
0x1 匿名用户无法列举本机用户列表
0x2 匿名用户无法连接本机IPC
说明:不建议使用2，否则可能会造成你的一些服务无法启动，如SQL Server
2、禁止默认共享
1）察看本地共享资源
运行-cmd-输入net share
2）删除共享(每次输入一个）
net share ipc$ /delete
net share admin$ /delete
net share c$ /delete
net share d$ /delete（如果有e,f,……可以继续删除）
3）修改注册表删除共享
运行-regedit
找到如下主键[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\LanmanServer\Parameters]
把AutoShareServer（DWORD）的键值改为0000000。
如果上面所说的主键不存在，就新建(右击-新建-双字节值）一个主健再改键值。
做好以上的之后你还需要搞定以下几个：
   1、立即检查本机administrator组成员口令，一定放弃简单口令甚至空口令，安全的口令是字母数字特殊字符的组合，自己记得住，别让病毒猜到就行。
　　修改方法：右键单击我的电脑，选择管理，浏览到本地用户和组，在右边的窗中，选择具备管理员权限的用户名，单击右键，选择设置密码，输入新密码就行。
　　2、利用组策略，关闭所有驱动器的自动播放功能。
　　步骤：单击开始，运行，输入gpedit.msc，打开组策略编辑器，浏览到计算机配置，管理模板，系统，在右边的窗格中选择关闭自动播放，该配置缺省是未配置，在下拉框中选择所有驱动器，再选取已启用，确定后关闭。最后，在开始，运行中输入gpupdate，确定后，该策略就生效了。
　　3、修改文件夹选项，以查看不明文件的真实属性，避免无意双击骗子程序中毒。
　　步骤：打开资源管理器(按windows徽标键+E)，点工具菜单下文件夹选项，再点查看，在高级设置中，选择查看所有文件，取消隐藏受保护的操作系统文件，取消隐藏文件扩展名。
　　4、时刻保持操作系统获得最新的安全更新，建议用毒霸的漏洞扫描功能。
　　5、启用防火墙保护本地计算机。

我门再看看这个病毒功能是多么的强大：瞬间复制整个硬盘、有监视QQ记录的功能、网吧的电脑依然有效！显然有了精灵的转存功能。值得注意的功能：删除GHOST的功能，控制电脑进行集体的DDOS，更出现了KILL掉KV、瑞星和金山的功能！
再看看病毒的特型：网页传播！电脑的弱口令。默认共享传播！在内网的传播速度非常的快！对企业的居于网有很大的杀伤力！病毒瞬间复制整个硬盘,占用内存极小。
注意：
网络巡警的熊猫专杀工具,可以杀最新的变种！

网工地带 2007-01-18 20:16 发表评论

全面清除计算机病毒

网工地带 — Thu, 18 Jan 2007 11:51:00 GMT

全面清除计算机病毒

windows2000以上系统适用
网络时代，病毒已经无所不在。在层出不穷、变化多端的病毒袭击下，中招基本上是不可避免的了。那么中招以后我们改如何处理（当然必须处理，否则计算机没法替你工作）？是格式化系统然后重装windows,还是请人帮忙……。因为职业关系，我不得不与这些让人讨厌的东西战斗着，逐步地积累了一些行之有效的办法，供大家参考。
一、中毒的一些表现
我们怎样知道电脑中病毒了呢？其实电脑中毒跟人生病一样，总会有一些明显的症状表现出来。例如机器运行十分缓慢、上不了网、杀毒软件生不了级、word文档打不开，电脑不能正常启动、硬盘分区找不到了、数据丢失等等，就是中毒的一些征兆。
二、中毒诊断
1、按Ctrl+Shift+Ese键（同时按此三键），调出windows任务管理器查看系统运行的进程，找出不熟悉进程并记下其名称（这需要经验），如果这些进程是病毒的话，以便于后面的清除。暂时不要结束这些进程，因为有的病毒或非法的进程可能在此没法结束。点击性能查看CPU和内存的当前状态，如果CPU的利用率接近100%或内存的占用值居高不下，此时电脑中毒的可能性是95%。
2、查看windows当前启动的服务项，由“控制面板”的“管理工具”里打开“服务”。看右栏状态为“启动”启动类别为“自动”项的行；一般而言，正常的windows服务，基本上是有描述内容的（少数被骇客或蠕虫病毒伪造的除外），此时双击打开认为有问题的服务项查看其属性里的可执行文件的路径和名称，假如其名称和路径为C:\winnt\system32\explored.exe，计算机中招。有一种情况是“控制面板”打不开或者是所有里面的图标跑到左边，中间有一纵向的滚动条，而右边为空白，再双击添加/删除程序或管理工具，窗体内是空的，这是病毒文件winhlpp32.exe发作的特性。
3、运行注册表编辑器，命令为regedit或regedt32,查看都有那些程序与windows一起启动。主要看Hkey_Local_Machine\Software\MicroSoft\Windows\CurrentVersion\Run和后面几个RunOnce等，查看窗体右侧的项值，看是否有非法的启动项。WindowsXp运行msconfig也起相同的作用。随着经验的积累，你可以轻易的判断病毒的启动项。
4、用浏览器上网判断。前一阵发作的Gaobot病毒，可以上yahoo.com,sony.com等网站，但是不能访问诸如www.symantec.com,www.ca.com这样著名的安全厂商的网站，安装了symantecNorton2004的杀毒软件不能上网升级。
5、取消隐藏属性，查看系统文件夹winnt(windows)\system32,如果打开后文件夹为空，表明电脑已经中毒；打开system32后，可以对图标按类型排序，看有没有流行病毒的执行文件存在。顺便查一下文件夹Tasks,wins,drivers.目前有的病毒执行文件就藏身于此；drivers\etc下的文件hosts是病毒喜欢篡改的对象，它本来只有700字节左右，被篡改后就成了1Kb以上，这是造成一般网站能访问而安全厂商网站不能访问、著名杀毒软件不能升级的原因所在。
6、由杀毒软件判断是否中毒，如果中毒，杀毒软件会被病毒程序自动终止，并且手动升级失败。
三、灭毒
1、在注册表里删除随系统启动的非法程序，然后在注册表中搜索所有该键值，删除之。当成系统服务启动的病毒程序，会在Hkey_Local_Machine\System\ControlSet001\services和controlset002\services里藏身，找到之后一并消灭。
2、停止有问题的服务，改自动为禁止。
3、如果文件system32\drivers\etc\hosts被篡改，恢复它，即只剩下一行有效值“127.0.0.1localhost”,其余的行删除。再把host设置成只读。
4、重启电脑，摁F8进“带网络的安全模式”。目的是不让病毒程序启动，又可以对Windows升级打补丁和对杀毒软件升级。
5、搜索病毒的执行文件，手动消灭之。
6、对Windows升级打补丁和对杀毒软件升级。
7、关闭不必要的系统服务，如remoteregistryservice。
8、第6步完成后用杀毒软件对系统进行全面的扫描，剿灭漏网之鱼。
9、上步完成后，重启计算机，完成所有操作。
四、建议
防范病毒作用远甚于查杀病毒。因此建立严密的防范措施是十分必要的。在具备条件的大中型网络里，应该软硬兼施、立体防护。理想得到情况是：Internet的接入处是外网防火墙；紧接着是防毒网关（熊猫卫士的性价比较高）；然后是路由器，服务器区，可为应用服务器配置一台病毒服务器；再往内是内网防火墙；内网架设杀毒服务器，每个用户都安装杀毒软件的可管理客户端。

网工地带 2007-01-18 19:51 发表评论

DLL后门完全清除

网工地带 — Tue, 16 Jan 2007 09:14:00 GMT

DLL后门完全清除

前言
后门！相信这个词语对您来说一定不会陌生，它的危害不然而欲，但随着人们的安全意识逐步增强，又加上杀毒软件的"大力支持"，使传统的后门无法在隐藏自己，任何稍微有点计算机知识的人，都知道"查端口""看进程"，以便发现一些"蛛丝马迹"。所以，后门的编写者及时调整了思路，把目光放到了动态链接程序库上，也就是说，把后门做成DLL文件，然后由某一个EXE做为载体，或者使用Rundll32.exe来启动，这样就不会有进程，不开端口等特点，也就实现了进程、端口的隐藏。本文以"DLL的原理""DLL的清除""DLL的防范"为主题，并展开论述，旨在能让大家对DLL后门"快速上手"，不在恐惧DLL后门。好了，进入我们的主题。

一，DLL的原理
1，动态链接程序库
动态链接程序库，全称：Dynamic Link Library，简称：DLL，作用在于为应用程序提供扩展功能。应用程序想要调用DLL文件，需要跟其进行"动态链接"；从编程的角度，应用程序需要知道DLL文件导出的API函数方可调用。由此可见，DLL文件本身并不可以运行，需要应用程序调用。正因为 DLL文件运行时必须插入到应用程序的内存模块当中，这就说明了：DLL文件无法删除。这是由于Windows内部机制造成的：正在运行的程序不能关闭。所以，DLL后门由此而生！

2，DLL后门原理及特点
把一个实现了后门功能的代码写成一个DLL文件，然后插入到一个 EXE文件当中，使其可以执行，这样就不需要占用进程，也就没有相对应的PID号，也就可以在任务管理器中隐藏。DLL文件本身和EXE文件相差不大，但必须使用程序（EXE）调用才能执行DLL文件。DLL文件的执行，需要EXE文件加载，但EXE想要加载DLL文件，需要知道一个DLL文件的入口函数（既DLL文件的导出函数），所以，根据DLL文件的编写标准：EXE必须执行DLL文件中的DLLMain（）作为加载的条件（如同EXE的mian （））。做DLL后门基本分为两种：1）把所有功能都在DLL文件中实现；2）把DLL做成一个启动文件，在需要的时候启动一个普通的EXE后门。

常见的编写方法：
(1)，只有一个DLL文件

这类后门很简单，只把自己做成一个DLL文件，在注册表Run键值或其他可以被系统自动加载的地方，使用Rundll32.exe来自动启动。 Rundll32.exe是什么？顾名思意，"执行32位的DLL文件"。它的作用是执行DLL文件中的内部函数，这样在进程当中，只会有 Rundll32.exe，而不会有DLL后门的进程，这样，就实现了进程上的隐藏。如果看到系统中有多个Rundll32.exe，不必惊慌，这证明用 Rundll32.exe启动了多少个的DLL文件。当然，这些Rundll32.exe执行的DLL文件是什么，我们都可以从系统自动加载的地方找到。

现在，我来介绍一下Rundll32.exe这个文件，意思上边已经说过，功能就是以命令行的方式调用动态链接程序库。系统中还有一个Rundll.exe文件，他的意思是"执行16位的DLL文件"，这里要注意一下。在来看看Rundll32.exe使用的函数原型：
Void CALLBACK FunctionName (
HWND hwnd,
HINSTANCE hinst,
LPTSTR lpCmdLine,
Int nCmdShow
);

其命令行下的使用方法为：Rundll32.exe DLLname,Functionname [Arguments]
DLLname为需要执行的DLL文件名；Functionname为前边需要执行的DLL文件的具体引出函数；[Arguments]为引出函数的具体参数。

(2)，替换系统中的DLL文件
这类后门就比上边的先进了一些，它把实现了后门功能的代码做成一个和系统匹配的DLL文件，并把原来的DLL文件改名。遇到应用程序请求原来的DLL文件时， DLL后门就启一个转发的作用，把"参数"传递给原来的DLL文件；如果遇到特殊的请求时（比如客户端），DLL后门就开始，启动并运行了。对于这类后门，把所有操作都在DLL文件中实现最为安全，但需要的编程知识也非常多，也非常不容易编写。所以，这类后门一般都是把DLL文件做成一个"启动"文件，在遇到特殊的情况下（比如客户端的请求），就启动一个普通的EXE后门；在客户端结束连接之后，把EXE后门停止，然后DLL文件进入"休息"状态，在下次客户端连接之前，都不会启动。但随着微软的"数字签名"和"文件恢复"的功能出台，这种后门已经逐步衰落。

提示：
在WINNT \system32目录下，有一个dllcache文件夹，里边存放着众多DLL文件（也包括一些重要的EXE文件），在DLL文件被非法修改之后，系统就从这里来恢复被修改的DLL文件。如果要修改某个DLL文件，首先应该把dllcache目录下的同名DLL文件删除或更名，否则系统会自动恢复。

(3)，动态嵌入式
这才是DLL后门最常用的方法。其意义是将DLL文件嵌入到正在运行的系统进程当中。在Windows系统中，每个进程都有自己的私有内存空间，但还是有种种方法来进入其进程的私有内存空间，来实现动态嵌入式。由于系统的关键进程是不能终止的，所以这类后门非常隐蔽，查杀也非常困难。常见的动态嵌入式有：" 挂接API""全局钩子（HOOK）""远程线程"等。

远程线程技术指的是通过在一个进程中创建远程线程的方法来进入那个进程的内存地址空间。当EXE载体（或Rundll32.exe）在那个被插入的进程里创建了远程线程，并命令它执行某个DLL文件时，我们的DLL后门就挂上去执行了，这里不会产生新的进程，要想让DLL后门停止，只有让这个链接DLL后门的进程终止。但如果和某些系统的关键进程链接，那就不能终止了，如果你终止了系统进程，那Windows也随即被终止！！！

3，DLL后门的启动特性

启动DLL后门的载体EXE是不可缺少的，也是非常重要的，它被称为：Loader。如果没有Loader，那我们的DLL后门如何启动呢？因此，一个好的DLL后门会尽力保护自己的 Loader不被查杀。Loader的方式有很多，可以是为我们的DLL后门而专门编写的一个EXE文件；也可以是系统自带的Rundll32.exe，即使停止了Rundll32.exe，DLL后门的主体还是存在的。3721网络实名就是一个例子，虽然它并不是"真正"的后门。

二，DLL的清除
本节以三款比较有名的DLL后门例，分别为"SvchostDLL.dll""BITS.dll""QoServer.dll"。详细讲解其手工清除方法。希望大家在看过这三款DLL后门的清除方法之后，能够举一反三，灵活运用，在不惧怕DLL后门。其实，手工清除DLL后门还是比较简单的，无非就是在注册表中做文章。具体怎么做，请看下文。

1，PortLess BackDoor
这是一款功能非常强大的DLL后门程序，除了可以获得Local System权限的Shell之外，还支持如"检测克隆帐户""安装终端服务"等一系列功能（具体可以参见程序帮助），适用 Windows2000/xp/2003等系统。程序使用svchost.exe来启动，平常不开端口，可以进行反向连接（最大的特点哦），对于有防火墙的主机来说，这个功能在好不过了。

在介绍清除方法之前，我们先来简单的介绍一下svchost.exe这个系统的关键服务：
Svchost 只是做为服务的宿主，本身并不实现什么功能，如果需要使用Svchost来启动服务，则某个服务是以DLL形式实现的，该DLL的载体Loader指向 svchost，所以，在启动服务的时候由svchost调用该服务的DLL来实现启动的目的。使用svchost启动某个服务的DLL文件是由注册表中的参数来决定的，在需要启动服务的下边都有一个Parameters子键，其中的ServiceDll表明该服务由哪个DLL文件负责，并且这个DLL文件必须导出一个ServiceMain()函数，为处理服务任务提供支持。

呵呵！看了上边的理论，是不是有点蒙（我都快睡着了），别着急，我们来看看具体的内容（如图1）。从图1中，我们可以看到HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Services\RpcSs下的Parameters子键，其键值为%SystemRoot%\system32 \rpcss.dll。这就说明：启动RpcSs服务时。Svchost调用WINNT\system32目录下的rpcss.dll。

在来看看图2，这是注册表的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\Svchost，里边存放着Svchost启动的组和组内的各个服务，其中netsvcs组的服务最多。要使用 Svchost启动某个服务，则该服务名就会出现在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT \CurrentVersion\Svchost下。这里有四种方法来实现：
1，添加一个新的组，在组里添加服务名
2，在现有组里添加服务名
3，直接使用现有组里的一个服务名，但是本机没有安装的服务
4，修改现有组里的现有服务，把它的ServiceDll指向自己的DLL后门

我测试的PortLess BackDoor使用的第三种方法。
好了，我想大家看完了上边的原理，一定可以想到我们清除PortLess BackDoor的方法了，对，就是在注册表的Svchost键下做文章。好，我们现在开始。

注：由于本文只是介绍清除方法，使用方法在此略过。

后门的Loader把SvchostDLL.dll插入Svchost进程当中，所以，我们先打开Windows优化大师中的Windows进程管理 2.5，查看Svchost进程中的模块信息（如图3），从图3中我们可以看到，SvchostDLL.dll已经插入到Svchost进程中了，在根据 "直接使用现有组里的一个服务名，但是本机没有安装的服务"的提示，我们可以断定，在"管理工具"—"服务"中会有一项新的服务。图4证明了我的说法，此服务名称为：IPRIP，由Svchost启动，-k netsvcs表示此服务包含在netsvcs服务组中。

我们把该服务停掉，然后打开注册表编辑器（开始—运行--regedit），来到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Services\IPRIP下，查看其Parameters子键（如图5）。Program键的键值SvcHostDLL.exe为后门的 Loader；ServiceDll的键值C:\WINNT\system32\svchostdll.dll为调用的DLL文件，这正是后门的DLL文件。现在我们删除IPRIP子键（或者用SC来删除），然后在来到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows NT\CurrentVersion\Svchost下，编辑netsvcs服务组，把 49 00 70 00 72 00 69 00 70 00 00 00删除，这里对应的就是IPRIP的服务名，具体如图6所示。然后退出，重启。重启之后删除WINNT\system32目录下的后门文件即可。

2，BITS.dll
这是榕哥的作品，也是DLL后门，和 SvchostDLL.dll原理基本一样，不过这里使用的是上边介绍的第四种方法，即"修改现有组里的现有服务，把它的ServiceDll指向自己的 DLL后门"。换句话说，该后门修改现有的某一个服务，把其原有服务的DLL指向自己（也就是BITS.dll），这样就达到了自动加载的目的；其次，该后门没有自己的Loader，而是使用系统自带的Rundll32.exe来加载。我们还是用Windows 进程管理2.5来查看，从图7中，我们可以看到bits.dll已经插入到Svchost进程当中。

好，现在我们来看看具体的清除方法，由于该后门是修改现有服务，而我们并不知道具体是修改了哪个服务，所以，在注册表中搜索bits.dll，最后在HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Services\RasAuto下搜索到了bits.dll，查看Parameters子键下的 ServiceDll，其键值为C:\WINNT\system32\bits.dll（如图8）。原来，该后门把RasAuto服务原来的DLL文件替换为bits.dll了，这样来实现自动加载。知道了原因就好办了，现在我们把ServiceDll的键值修改为RasAuto服务原有的DLL文件，即 %SystemRoot%\System32\rasauto.dll，退出，重启。之后删除WINNT\system32目录下的bits.dll即可。

3，NOIR--QUEEN
NOIR--QUEEN(守护者)是一个DLL后门&木马程序，服务端以DLL文件的形式插入到系统的Lsass.exe进程里，由于Lsass.exe是系统的关键进程，所以不能终止。在来介绍清除方法之前，我先介绍一下Lsass.exe进程：
这是一个本地的安全授权服务，并且它会为使用Winlogon服务的授权用户生成一个进程，如果授权是成功的，Lsass就会产生用户的进入令牌，令牌使用启动初始的Shell。其他的由用户初始化的进程会继承这个令牌。
从上边的介绍我们就可以看出Lsass对系统的重要性，那具体怎么清除呢？请看下文。

后门在安装成功后，会在服务中添加一个名为QoSserver的服务，并把QoSserver.dll后门文件插入到Lsass进程当中，使其可以隐藏进程并自动启动（如图9）。现在我们打开注册表，来到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\QoSserver，直接删除QoSserver键，然后重启。重启之后，我们在来到服务列表中，会看到QoSserver服务还在，但没有启动，类别是自动，我们把他修改为"已禁用"；然后往上看，会发现一个服务名为AppCPI的服务，其可执行程序指向QoSserver.exe （原因后边我会说到），具体如图11所示。我们再次打开注册表，来到HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Services\AppCPI，删除AppCPI键，重启，再删除QoSserver，最后删除WINNT\ system32目录下的后门文件。

本人和这个后门"搏斗"了3个多小时，重启N次。原因在于即使删除了QoSserver服务，后门还是在运行，而且服务列表中的QoSserver服务又"死灰复燃"。后来才知道原因：在我删除了QoSserver服务并重启之后，插入到Lsass 进程当中的QoSserver.dll文件又恢复了QoSserver服务，并且生成了另外一个服务，即AppCPI，所以我们必须在到注册表中删除 AppCPI服务才算是把该后门清除。由此可以看出，现在的后门的保护措施，真是一环扣环。

注意：在删除QoSserver服务并重启之后，恢复的QoSserver的启动类别要修改为"已禁用"，否则即便删除了AppCPI服务，QoSserver服务又运行了。

三，DLL的防范
看了上边的例子，我想大家对清除DLL后门的方法有了一定的了解，但在现实中，DLL后门并不会使用默认的文件名，所以你也就不能肯定是否中了DLL后门。对于DLL后门，system32目录下是个好地方，大多数后门也是如此，所以这里要非常注意。下面我来具体介绍一下怎么发现DLL后门，希望对大家有所帮助。

1，安装好系统和所有的应用程序之后，备份system32目录下的EXE和DLL文件：打开CMD，来到WINNT\ system32目录下，执行：dir *.exe>exe.txt & dir *.dll>dll.txt，这样，就会把所有的 EXE和DLL文件备份到exe.txt和dll.txt文件中；日后，如发现异常，可以使用相同的命令再次备份EXE和DLL文件(这里我们假设是 exe0.txt和dll0.txt)，并使用：fc exe.txt exe0.txt>exedll.txt & fc dll.txt dll0.txt>exedll.txt，其意思为使用FC命令比较两次的EXE文件和DLL文件，并将比较结果保存到 exedll.txt文件中。通过这种方法，我们就可以发现多出来的EXE和DLL文件，并通过文件大小，创建时间来判断是否是DLL后门。

2，使用内存/模块工具来查看进程调用的DLL文件，比如Windows优化大师中的Windows 进程管理 2.5。这样，可以发现进程到底调用了什么 DLL文件，在结合上边用FC命令比较出来的结果，又能进一步来确定是否中了DLL后门。如果没有优化大师，可以使用TaskList，这个小工具也可以显示进程调用的DLL文件，而且还有源代码，方便修改。

3，普通后门连接需要打开特定的端口，DLL后门也不例外，不管它怎么隐藏，连接的时候都需要打开端口。我们可以用netstat -an来查看所有TCP/UDP端口的连接，以发现非法连接。大家平时要对自己打开的端口心中有数，并对netstat -an中的state属性有所了解。当然，也可以使用Fport来显示端口对应的进程，这样，系统有什么不明的连接和端口，都可以尽收眼底。

4，定期检查系统自动加载的地方，比如：注册表，Winstart.bat，Autoexec.bat， win.ini，system.ini，wininit.ini，Autorun.inf，Config.sys等。其次是对服务进行管理，对系统默认的服务要有所了解，在发现有问题的服务时，可以使用Windows 2000 Server Resource Kit中的SC来删除。以上这些地方都可以用来加载DLL后门的Loader，如果我们把DLL后门Loader删除了，试问？DLL后门还怎么运行？！

通过使用上边的方法，我想大多数DLL后门都可以"现形"，如果我们平时多做一些备份，那对查找DLL后门会启到事半功倍的效果。

网工地带 2007-01-16 17:14 发表评论

远程管理特洛伊木马（RAT）病毒（中英对照）

网工地带 — Mon, 01 Jan 2007 12:09:00 GMT

RATs

　　The world of malicious software is often divided into two types: viral and nonviral. Viruses are little bits of code that are buried in other codes. When the “host” codes are executed, the viruses replicate themselves and may attempt to do something destructive. In this, they behave much like biological viruses.

　　Worms are a kind of computer parasite considered to be part of the viral camp because they replicate and spread from computer to computer.

　　As with viruses, a worm’s malicious act is often the very act of replication; they can overwhelm computer infrastructures by generating massive numbers of e-mails or requests for connections that servers can’t handle.

　　Worms differ from viruses, though, in that they aren’t just bits of code that exist in other files. They could be whole files——an entire Excel spreadsheet, for example. They replicate without the need for another program to be run.

　　Remote administration types are an example of another kind of nonviral malicious software, the Trojan horse, or more simply Trojan. The purpose of these programs isn’t replication, but to penetrate and control. That masquerade as one thing when in fact they are something else, usually something destructive.

　　There are a number of kinds of Trojans, including spybots, which report on the Web sites a computer user visits, and keybots or keyloggers, which record and report the user''s keystrokes in order to discover passwords and other confidential information.

　　RATs attempt to give a remote intruder administrative control of an infected computer. They work as client/server pairs. The server resides on the infected machine, while the client resides elsewhere, across the network, where it''s available to a remote intruder.

　　Using standard TCP/IP or UDP protocols, the client sends instructions to the server. The server does what it’s told to do on the infected computer.

　　Trojans, including RATs, are usually downloaded inadvertently by even the most savvy users. Visiting the wrong Web site or clicking on the wrong hyperlink invites the unwanted Trojan in. RATs install themselves by exploiting weaknesses in standard programs and browsers.

　　Once they reside on a computer, RATs are hard to detect and remove. For Windows users, simply pressing Ctrl-Alt-Delete won’t expose RATs, because they operate in the background and don''tappear in the task list.

　　Some especially nefarious RATs have been designed to install themselves in such a way that they’re very difficult to remove even after they’re discovered.

　　For example, a variant of the Back Orifice RAT called G_Door installs its server as Kernel32.exe in the Windows system directory, where it’s active and locked and controls the registry keys.

　　The active Kernel32.exe can’t be removed, and a reboot won''t clear the registry keys. Every time an infected computer starts, Kernel32.exe will be restarted, and the program will be active and locked.

　　Some RAT servers listen on known or standard ports. Others listen on random ports, telling their clients which port and which IP address to connect to by e-mail.

　　Even computers that connect to the Internet through Internet service providers, which are often thought to offer better security than static broadband connections, can be susceptible to control from such RAT servers.

　　The ability of RAT servers to initiate connections can also allow some of them to evade firewalls. An outgoing connection is usually permitted. Once a server contacts a client, the client and server can communicate, and the server begins following the instructions of the client.

　　Legitimate tools are used by systems administrators to manage networks for a variety of reasons, such as logging employee usage and downloading program upgrades——functions that are remarkably similar to those of some remote administration Trojans. The distinction between the two can be quite narrow. A remote administration tool used by an intruder becomes a RAT.

　　In April 2001, an unemployed British systems administrator named Gary McKinnon used a legitimate remote administration tool known as RemotelyAnywhere to gain control of computers on a U.S. Navy network.

　　By hacking a few unguarded passwords on the target computers and using illegal copies of Remotely Anywhere, McKinnon was able to break into the Navy’s network and use the remote administration tool to steal information and delete files and logs. The fact that McKinnon launched the attack from his girlfriend’s e-mail account left him vulnerable to detection.

　　Some of the famous RATs are variants of Back Orifice; they include Netbus, SubSeven, Bionet and Hack''a''tack. These RATs tend to be families more than single programs. They are morphed by hackers into a vast array of Trojans with similar capabilities.

翻译：

　　恶意软件的世界常常分成两类：病毒性和非病毒性。病毒是埋藏在其他程序中的很短的程序代码。当“主”程序执行时，病毒就复制自身，并企图做些有破坏性的事。在此过程中，它们的行为很像生物病毒。

　　蠕虫是一类计算机寄生虫，可以把它们归到病毒阵营，因为它们进行复制，从一台计算机散布到另一台计算机。

　　作为病毒，蠕虫的有害行为常常只是复制这个行为。它们通过生成大量的电子邮件或申请连接的请求，使服务器没法处理而导致计算机崩溃。

　　但蠕虫也有别于病毒，它们不是存在于其他文件中的代码。它们可以是整个文件，如Excel数据表格。它们不需要运行另一个程序就进行复制。

　　远程管理（病毒）是另一类非病毒性恶意软件——特洛伊木马（或更简单地称作木马）的例子。这些程序的目的不是复制，而是渗透进去加以控制。它们伪装成某种东西，但实际上是另一件东西，通常具有破坏性。

　　有多种类型的木马病毒，其中包括间谍机器人（它在网站上报告计算机用户来访）和击键机器人（它记录和报告用户的击键，目的是为了发现口令和其他的保密信息）。

　　RAT病毒企图让远程入侵者对受感染的计算机进行管理控制。它们以客户机/服务器那样的方式进行工作。服务器驻留在受感染的机器中，而客户机位于网络上能实施远程入侵的其他地方。

　　利用标准的TCP/IP或UDP协议，该客户机给服务器发送指令。服务器在受感染的计算机上做被告知的事情。

　　木马病毒，含RAT病毒，通常由用户、甚至最聪明的用户不经意地下载下来。访问恶意的网站或者点击恶意的链接都可能招致不想要的特洛伊病毒进入（计算机）。RAT病毒利用普通程序和浏览器中的弱点自行安装。

　　一旦它们驻留在计算机中，RAT病毒是很难发现和去除的。对于Windows用户，简单地击打Ctrl＋Alt＋Delete键并不能暴露RAT病毒，因为它们在后台工作，不会出现在任务列表中。

　　有些非常穷凶极恶的RAT病毒设计成以一种即使在被发现后也非常难去除的方式安装。

　　例如，Back Orifice RAT病毒的一个变种，叫G_Door，安装其服务器作为Windows系统目录中的Kernel32.exe，存活并锁定在那里并控制注册键。

　　活动的Kernel32.exe是不能去除的，重新启动也不能清除注册键。每次受感染的计算机开机，Kernel32.exe被再次启动，并被激活和锁定。

　　有些RAT病毒对已知的或标准的端口进行侦听。其他的则对随机的端口进行侦听，通告它的客户机，电子邮件连接到了哪些端口和哪些IP地址。

　　通过ISP（因特网服务提供商）连接到因特网上的计算机，虽然常常被认为比静态的宽带连接更安全，也可能被这样的RAT病毒所控制。

　　RAT病毒服务器这种激活连接的能力，也能让它们中的一些可以入侵防火墙。通常向外的连接是允许的，一旦服务器与客户机建立联系，客户机和服务器就能进行通信，服务器就开始遵循客户机的指令工作。

　　出于各种原因，系统管理员使用合法工具管理网络，如记录雇员的使用和下载程序更新（与某些远程管理木马病毒的功能非常相像）。这两者间的差别可能是非常小的，远程管理工具被入侵者使用就成了RAT病毒。

　　2001年4月，一名叫Gary McKin-non的失业的英国系统管理员利用合法的远程管理工具——Remotely Anywhere成功地控制了美国海军网络上的多台计算机。

　　McKinnon通过黑客手段获得目标计算机上未防护的口令和使用非法拷贝的Remotely Anywhere软件，突破了美国海军的网络，利用该远程管理工具偷窃信息、删除文件和记录。McKinnon从他女朋友的电子邮件账号发起攻击，这个账号给侦查留下了线索。

　　一些有名的RAT病毒是Back Orifice的变种，如Netbus、SubSeven、 Bionet 和Hack"a"tack。这些RAT病毒大多是一组程序，而不是单独的一个程序。黑客把它们变成一个庞大的、具有类似功能的木马病毒阵列。

网工地带 2007-01-01 20:09 发表评论

清除木马从它的寄生地开始

网工地带 — Sun, 31 Dec 2006 12:08:00 GMT

清除木马从它的寄生地开始

当提到木马和流氓软件这些字样时，不知道有多少网民痛心疾首，甚至也让许多网民束手无策。就从最近在IT界上发生了无数次事件来说吧，9月12日晚上11时37分，著名的搜索引擎机构-北京百度公司被黑客攻击，随后，这次攻击使百度搜索服务在全国各地出现了近30分钟的故障，从而使百度不能提供正常的服务，最近一段时间以来，百度公司负面事件不断；专业提供虚拟主机以及域名服务商-北京新网数码信息技术有限公司（简称：新网）接二连三地被黑客攻击，新网被黑后几天，国内另一域名注册和虚拟主机服务提供商-创联万网国际信息技术北京有限公司（简称：中国万网）也被黑客们大规模的攻击，其次就是流氓软件的泛滥成灾，导致许多用户的机器成为病毒的栖息地，用户拼命地用各种各样的杀毒软件去干掉它们，甚至重装系统或者格式化硬盘，中文域名的抢注与被抢注问题等等，朋友们，事实就摆在我们面前，我们该拿什么出来挽救自己的网络呢？我们怎样行动起来呢？

木马病毒的寄生所：注册表

现在最让网民头痛的除了木马、病毒之外，而注册表一直都是很多木马和病毒“青睐”的寄生场所，除此之外恐怕就是那种修改注册表的恶意代码了，它们不仅随意篡改用户IE浏览器的各种属性，如标题栏、起始页等等，甚至有时还会在注册表中加入一些特殊的键值来达到禁用注册表编辑或限制程序运行的目的，最可恶的是，有些木马你通过各种清除它的方法首先把它干掉了，可是你重新启动你的机器时，木马死而复生了,例如说曾让许多网民痛恨的7939木马病毒。面对如此猖獗的恶意代码，我们岂能坐以待毙，那我们怎么做到一人防守万人(木马病毒以及流氓软件等等带有破坏性的东东)难攻呢？

当某天我们打开自己的电脑或者在上网的路途中，发现自己的机器像是蜗牛在爬行时，甚至同一个网页不断在自己眼前跳舞，一分钟之内就可以连续跳100步舞曲之上，最后直到资源耗尽死机，说到这里，我想有意识的人应该会觉悟得到，我的电脑中毒了。有些人不禁在问，我是电脑盲，我还是第一次用电脑呢，我该怎么做才能把病毒一网打尽呢？这个问题问得好，对于一些电脑新手来说，注册表是个很难理解的一组词语，简单来说的话，注册表就是操作系统的数据库，相当于一个国家的金库，里面存放着许多金银财宝以及国家秘密，那我们通过什么样的方法进入呢？在XP/2000/2003等等WINDOWS系列的操作系统中,我们可以通过下面这个方法，看到电脑的左下角一个”开始”菜单，然后我们用鼠标点击它一下，再点击”运行”此选项，我们进入”运行”工作环境中，我们在空白框中输入这样的英文字母, regedit，最后点击确定就可以进入注册表编辑器仓库了，紧接着我们就可以进入下一个环节了。

检查注册表以及设置注册表

一、检查注册表中HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼Run和HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft NT\Windows\CurrentVersion\Winlogon和HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼Run以及HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼RunOnce，查看键值中有没有自己不熟悉的自动启动文件，扩展名一般为EXE，然后记住木马程序的文件名，再在整个注册表中搜索，凡是看到了一样的文件名的键值就要毫不留情地删除，接着到电脑中找到木马文件的藏身地将其彻底删除。

二、检查注册表HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER＼SOFTWARE＼Microsoft＼Internet Explorer＼Main中的几项(如Local Page)，如果发现键值被修改了，只要根据你的判断改回去就行了。

三、检查HKEY_CLASSES_ROOT＼inifile ＼shell＼open＼command和HKEY_CLASSES_ROOT ＼txtfile＼shell＼open＼command等等几个常用文件类型的默认打开程序是否被更改。这个一定要改回来，很多病毒就是通过修改.txt、.ini等的默认打开程序而清除不了的。

四、有些病毒会通过修改下面的键值来阻止用户查看和修改注册表:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\

DisableRegistryTools =

为了阻止用户利用.REG文件修改注册表键值，以下键值也会被修改来显示一个内存访问错误窗口

例如:Win32.Swen.B 病毒会将缺省健值修改为:

HKEY_CLASSES_ROOT\regfile\shell\open\command\(Default) = "cxsgrhcl.exe

showerror"

五、取消“默认共享”

安全隐患:大家都知道在windows 2000/xp/2003中，系统默认开启了一些“共享”，它们是ipc$、c$、d$、e$和admin$。很多黑客和病毒都是通过这个默认共享入侵操作系统的。

解决方法:要防范ipc$攻击应该将注册表中“hkey_local_machine\system\currentcontrolset\control\lsa”的restrictanonymous项设置为“1”，这样就可以禁止ipc$的连接。

对于c$、d$和admin$等类型的默认共享则需要在注册表中找到“HKEY_LOCAL_MACHINE\system\currentcontrolset\services\lanmanserver\parameters”项。如果系统为windows 2000 server或windows 2003，则要在该项中添加键值“autoshareserver”(类型为“reg_dword”，值为“0”)。如果系统为windows 2000 pro，则应在该项中添加键值“autosharewks”(类型为“reg_dword”，值为“0”)。

六、拒绝activex控件的恶意骚扰

安全隐患:不少木马和病毒都是通过在网页中隐藏恶意activex控件的方法来私自运行系统中的程序，从而达到破坏本地系统的目的。为了保证系统安全，我们应该阻止activex控件私自运行程序。

解决方法:activex控件是通过调用windows scripting host组件的方式运行程序的，所以我们可以先删除“system32”目录下的wshom.ocx文件，这样activex控件就不能调用windows scripting host了。然后，在注册表中找到“HKEY_LOCAL_MACHINE\software\ classes\clsid\{f935dc22-1cf0-11d0-adb9-00c04fd58a0b}”，将该项删除。通过以上操作，activex控件就再也无法私自调用脚本程序了。

七、禁止病毒启动服务

安全隐患:现在的病毒很聪明，不像以前只会通过注册表的run值或msconfig中的项目进行加载。一些高级病毒会通过系统服务进行加载。那么，我们能不能使病毒或木马没有启动服务的相应权限呢?

解决方法:运行“regedit”指令启用带权限分配功能的注册表编辑器。在注册表中找到“HKEY_LOCAL_MACHINE\system\currentcontrolset\services”分支，接着点击菜单栏中的“编辑→权限”，在弹出的services权限设置窗口中单击“添加”按钮，然后单击”高级“->“立即查找”,将everyone账号导入进来，然后选中“everyone”账号，将该账号的“读取”权限设置为“允许”，将它的“完全控制”权限取消。现在任何木马或病毒都无法自行启动系统服务了。当然，该方法只对没有获得管理员权限的病毒和木马有效。

八、病毒自讨苦吃

安全隐患:很多病毒都是通过注册表中的run值进行加载而实现随操作系统的启动而启动的，我们可以按照“禁止病毒启动服务”中介绍的方法将病毒和木马对该键值的修改权限去掉。

解决方法:运行“regedit”指令启动注册表编辑器。找到注册表中的“HKEY_LOCAL_MACHINE\software\microsoft\windows\

currentversion\run”分支，将everyone对该分支的“读取”权限设置为“允许”，取消对“完全控制”权限的选择。这样病毒和木马就无法通过该键值启动自身了。

九、防止网页脚本病毒执行

脚本病毒的执行离不开WSH。WSH全称“Windows Scripting Host”,是微软提供的一种基于32位Windows平台的、与语言无关的脚本解释机制，它使得脚本能够直接在Windows桌面或命令提示符下运行。WSH所对应的程序“WScript.exe”是一个脚本语言解释器，位于Windows所在的文件夹下，大多数系统在默认安装后都会有WSH的身影。正是由于它使得脚本可以被执行，也因此给脚本病毒的传播提供了途径，方法：通过打开“我的电脑”，依次点击[工具]→[文件夹选项]→[文件类型]在文件类型中将后缀名为“VBS、VBE、JS、JSE、WSH、WSF”的所有针对脚本文件的操作均删除。这样这些文件就不会被执行了。

十、做好IE的安全设置

ActiveX控件和Java Applets有较强的功能，但也存在被人利用的隐患，网页中的恶意代码往往就是利用这些控件编写的小程序，只要打开网页就会被运行。所以要避免恶意网页的攻击只有禁止这些恶意代码的运行。IE对此提供了多种选择，具体设置步骤是:“工具”→“Internet选项”→“安全”→“自定义级别”，建议您将ActiveX控件与Java相关选项禁用。谨慎些总没有错!

另外，在IE的安全性设定中我们只能设定Internet、本地Intranet、受信任的站点、受限制的站点。不过，微软在这里隐藏了“我的电脑”的安全性设定，通过修改注册表把该选项打开，可以使我们在对待ActiveX控件和Java Applets时有更多的选择，并对本地电脑安全产生更大的影响。

下面是具体的方法:打开“开始”菜单中的“运行”，在弹出的“运行”对话框中输入Regedit.exe，打开注册表编辑器，点击前面的“+”号顺次展到:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\0，在右边窗口中找到DWORD值“Flags”，默认键值为十六进制的21(十进制33)，双击“Flags”，在弹出的对话框中将它的键值改为“1”即可，关闭注册表编辑器。无需重新启动电脑，重新打开IE，再次点击“工具→Internet选项→安全”标签，你就会看到多了一个“我的电脑”图标，在这里你可以设定它的安全等级。将它的安全等级设定高些，这样的防范更严密。

网工地带 2006-12-31 20:08 发表评论