识尚会折扣网:如何对付未知病毒木马?

来源:百度文库 编辑:九乡新闻网 时间:2024/03/28 17:10:08

如何对付未知病毒木马?

标签:无毒空间,白名单,未知木马克星,手工杀毒

摘要:手工查杀毒本来是件非常困难的工作,但有无毒空间的帮助,普通人都能胜任了。

 

由于工作的关系,我们每天都要跟未知病毒木马打交道,所以,积累了一些经验,今天拿出来跟朋友们共享一下,如果有描述不当的地方,欢迎指正。
    实际上目前很难见到高质量的病毒木马了,大量的恶意程序都是一些三急(急于发财、急于求成、急功近利)的童鞋们做出来的,这些病毒木马都比较糙,经常对用户的电脑杀鸡取卵,害人不浅,让人觉得跟街头打架一样,没有什么可欣赏性(打架显然跟切磋武功不在一个档次)。

对于非常高级的木马,我们捕捉到了,心头也会升起一些“敬意”的,这当然不是赞同他们制作恶意程序的行为,而是佩服他们钻研技术的极客精神(如果用技术来帮助别人就更好了,偶的一个愿望啊!不少高手因为买房养车困难,利用业余时间捞点外快,ZF也是有一部分责任的,要是杜甫在世,一定不会发生这样的事情的。)
    今天拿来演示的样本是个特制木马,09年10月拿到的,当时全球的杀软都不认识,免杀技术很出色,现在一年的时间过去了,已经有一些杀软认识它了。
    不过这不是问题的关键,我们向大家介绍的是一种通用的办法,一种可以拿来对付各种未知病毒木马的具体方法和步骤。
    先假设未知木马已经进入电脑了,既然是未知病毒木马,当然是杀软们不认识的东东,他们在电脑里呆着也算是“正常”了。
任务管理器:
使用任务管理器查看电脑里的程序是最常用的办法了,虽然微软提供的任务管理器是对付未知病毒木马最菜的工具了,但顺手一用,有时也能发现一两个更菜的木马。
这个截图就是使用任务管理器看见菜马的情形:

下载 (25.3 KB)

2010-12-4 09:26


当然我们虚拟机里的特制木马没有这么菜,任务管理器是看不到任何踪迹的。

下载 (25.13 KB)

2010-12-4 09:26


加大手工查杀力度,这回上Sreng2,小青蛙的大作。
直接查看启动项目。
第一屏,没有发现可疑的东西;

下载 (44.95 KB)

2010-12-4 09:27



第二屏,还是没有发现异常;

下载 (18.9 KB)

2010-12-4 09:27


第三屏,看见了一个可疑程序;

下载 (20.89 KB)

2010-12-4 09:27


还是继续看完吧,第四屏显示如下。

下载 (24.11 KB)

2010-12-4 09:27


Sreng2是一款非常好用的手工查杀毒软件,但朋友们不要以为这么简单都能找到未知病毒木马,使用这款工具必须有一些计算机程序知识的积累。
这款工具还有检查服务及驱动的功能,也有使用插件诊断文件签名、网络流量、NTFS的流文件、Windows shell扩展等高级功能可以选用,如果用户有意提高自己的计算机水平,认真学会使用Sreng2还是非常必要的。

再试试Icesword冰刃,这个大名鼎鼎的手工查杀毒软件,一定得看看他的能耐。
进程里没有发现可疑程序的踪影,看来这个木马是能防冰刃的啊!

下载 (53.43 KB)

2010-12-4 09:27


查看启动组,结果Sreng2发现的可疑启动程序,冰刃居然没有发现。

下载 (44.21 KB)

2010-12-4 09:27


冰刃还有很多项诊断,在此就不一一列举了,不过最后一直没有找到任何可疑的东西。
结论:由于冰刃太有名,导致恶意程序在发布之前,自己就先用冰刃做过测试,所以,如果使用冰刃找不到恶意程序,也不要奇怪,毕竟研究冰刃的人太多了。

Wsyscheck,冰刃的继任者,比冰刃容易使用一些,而且还有一些扩充的功能。
启动Wsyscheck后,顺便校验一下微软数字签名,结果就发现了不少粉红色的条目,这些条目都是有可疑之处的。
到底谁的进程里藏有罪魁祸首呢?我也不知道,慢慢找吧。

下载 (51.53 KB)

2010-12-4 09:27


我们重点查看了explorer.exe的进程,里面没有发现可疑的项目,很多恶意程序都是绑定这个explorer.exe的,但是,那个马确实藏在这个电脑里,怎么就无影无踪了呢?!

下载 (54.19 KB)

2010-12-4 09:27


不过最后还是在启动项里发现了该马的尾巴,这就算抓住了。Wsyscheck是目前寻找木马非常不错的工具,但学会并熟练使用它也是要花些工夫的,而且用户还必须有足够的经验。

下载 (54.57 KB)

2010-12-4 09:27



最后一招,用目前最新的Xuetr看看。
如今寻找未知木马,不使用Xuetr,似乎有点落伍,我们继续使用这款高级工具看看。
看进程,里面没有发现可疑的东东。

下载 (47.03 KB)

2010-12-4 09:27


内核模块里也没有,这个我们事先就知道。

但是不知道的朋友是不是要认真一项一项地逐个看一遍呢?!

下载 (55.76 KB)

2010-12-4 09:27


内核也要看看的,还是没有收获。

下载 (52.35 KB)

2010-12-4 09:27


还要看很多,在此一一略过… …

直接看看我们最想看的启动项吧,还是有两屏多的内容。

下载 (47.96 KB)

2010-12-4 09:27


在这里终于找到了那个可恨的“阶级敌人”,你咋这么不起眼呢,害得我们费多少事啊!

下载 (51.27 KB)

2010-12-4 09:27


我们丝毫没有诋毁上述高级工具的意思,我们要告诉朋友们的是,这些专业的工具,说实在的,只是专业人士的辅助工具,普通人想要用,起码得先去找本Windows内核的书看看,不然就不要谈找未知病毒木马,单就几千个Windows的程序,就能把你彻底搞晕。

那还有没有简单有效的办法呢?当然有。
用无毒空间找未知病毒木马,就简单得让人难以置信!
安装好无毒空间后,如果要分析恶意程序的话,起码得重新启动电脑一次,然后点击分析按钮。

下载 (38.23 KB)

2010-12-4 09:27


结果那高级马,就直接显示出来了。是的,真的就直接显示出来了!
PS:演示的是虚拟机环境,安装的程序不多;真机的程序会多一些,文章结尾有个真机的样本,用户就是逐个查验,也是不复杂的。

下载 (8.39 KB)

2010-12-4 09:27

  
删一下看看,删不掉?!

下载 (13.23 KB)

2010-12-4 09:27


下载 (14.71 KB)

2010-12-4 09:27

  

拷贝一份研究研究,还不让拷贝。

下载 (14.19 KB)

2010-12-4 09:27


也不让上传扫描。

下载 (68.96 KB)

2010-12-4 09:27


木马日志文件里,记录了我们操作电脑的一些动作。

下载 (23.07 KB)

2010-12-4 09:27



使用无毒空间,处理各种木马,都是以下标准流程:

操作动作      解释含义
选中禁止它à标记动作

关闭主界面à指令入库

重启计算机à禁止生效

这时木马就被无毒空间废掉了!

下载 (69.33 KB)

2010-12-4 09:27


看看下面的截屏,木马加载失败,虽然我们没有删除任何程序,但这时电脑已经运行在干净的状态了,所谓木马,在无毒空间的眼里,也是程序,只是一些不想经过用户的许可,悄悄控制用户电脑的特殊程序。
无毒空间解决这个问题的办法是:
1、让它隐藏不住;
2
、让它执行不了。
木马得不到系统的控制权,自然就失灵了。(死马有什么可怕的?!)

下载 (56.22 KB)

2010-12-4 09:27


下载 (62.68 KB)

2010-12-4 09:27


上面演示的是计算机已经中马后才安装无毒空间的情况。

如果用户的电脑一直在无毒空间的管理下,就没有这么复杂了。安装了无毒空间的电脑,有未知程序在电脑里执行时,只要用户不直接点击“知道了”,不在主界面里人为许可程序,计算机一重启,就能自动发现可疑程序,这恰恰是无毒空间的专长。

下图就是无毒空间自动发现可疑程序的样子。

下载 (70.29 KB)

2010-12-4 09:27



附一个真机的分析样本:
虚拟机安装的程序少一点,分析结果会一目了然。
如果是真机,分析窗口的程序也不会太多,稍加过滤,20多个可疑程序,逐一验证的过程也不太复杂。
有些简单经验是需要用户掌握的,在无毒空间显示的可疑程序里,有些是用户的显卡、无线网卡、网卡、打印驱动、声卡驱动、摄像头程序,用户单凭文件名、路径和文件完整属性,就能知道大概程序有没有问题,所以,发现可疑程序还是比较迅速的。

 

Virusfree Team ( 备案序号:京ICP备05051251号)|