三、对付木马的工具
要想删除木马,你必须有几款上手的工具,奇奇介绍一下自己使用的几个工具:
tcpview:
这是查看端口和线程的。只要木马在内存中运行,一定会打开某个端口,只要黑客进入你的电脑,就有新的线程,tcpview虽然是静态表示端口和线程的,但是它方便,占用资源少,你可以在我的主页上下载我自己汉化的tcpview。
ATM
木马在内存中运行,你想终止它运行,ATM是最好的,它被汉化了,而且不用安装的,你可以在界面上清楚地看到什么软件在运行,软件的硬盘位置等,对查找木马很有帮助。
REGEDIT
这是windows自带的,位置是:C:\WINDOWS\REGEDIT.EXE,注册表修改工具,大部分的木马是在注册表的启动组添加键值,以便在电脑启动的时候运行,你可以使用REGEDIT对注册表进行修改,但是,请千万小心,弄错了可能造成系统崩溃。
LOCKDOWN
被认为是最好的防御工具,虽然不象别人说的那么地好,但是能删除很多木马,能监视注册表的变化,这就足够了。
NukeNabber
开启端口,如果黑客扫描过这些端口的话,就会报警,监视的端口可以自定。
四、发现和删除木马
前面详细讲了每个木马的特征和删除方法,这里就发现和删除木马做个总结。
在删除木马之前,最最重要的一项工作是备份,需要备份注册表,防止系统崩溃,备份你认为是木马的文件,如果不是木马就可以恢复,如果是木马你就可以对木马进行分析。
最简单的删除木马方法是安装杀毒软件,现在很多杀毒软件能删除网络最猖狂的木马,比如BO木马。
当然手动删除是最重要的,因为我的木马库中大部分是不会被杀毒软件删除的,黑客完全可以给你装上这样的木马。
大部分木马会放在启动项中,最常见的是加载到注册表的启动组中,在这种情况下,木马会进入内存,打开端口,你只要使用TCPVIEW,看看自己有什么可疑的端口开放就行了。
如果有可疑的端口开放,你按照以下步骤进行:先记下这个端口号,然后打开ATM软件看看内存中正在运行那些软件,请把这些软件名称和硬盘位置用笔记到纸上,然后终止某个程序运行,如果端口还是开放着,那么被你终止运行的程序不是木马,然后继续终止下一个,直到端口不再开放,就也就找到了木马。
木马程序的运行都是隐蔽的,你在屏幕上不可能看到木马窗口,因为木马程序在运行时是“隐含”的。在ATM中可以看到“标志”带“S”的程序是后台运行的,带S标志的一般会是这两种,一种是系统文件,一种就是木马。终止系统文件的运
行可能导致死机,你应该具备一定的WINDOWS知识。
当你找到木马以后,你需要做的第一件事情就是备份木马样本,很重要的。一来可以以后学习学习,二来你把系统弄崩溃了可以恢复。
当备份以后,需要验证一下是不是木马,新建一个目录,把木马移到这里,运行,看看端口打开吗?原目录中是不是又生成了这个文件?是的话可以确认为木马。
开始删除工作了,你先终止该程序在内存中的运行,保证端口没有打开,注意,先不要在硬盘上删除该文件!
首先到注册表中去查包含该文件名的键值,如果在启动组中找到就先用笔记下键值,然后删除。
注册表的其他很多位置也会启动木马,不是在电脑开机的时候,而是在某种特定的条件下。冰河木马为例,木马除了注册表启动组启动外,还在注册表的这个位置做了手脚:HKEY_CLASSES_ROOT\txtfile\shell\open\command,键值名:(默认) ,键值:C:\WINDOWS\SYSTEM\Sysexplr.exe %1 。我们打开文本文件有两种办法,一种是先打开记事本程序,然后打开文件文件,第二种是在硬盘上直接双击文本文件,如果是第二种的话,就惨了,电脑发现你点击的文件后缀是TXT,它就到注册表种去找对应的程序,原来应该找到的是C:\WINDOWS\NOTEPAD.EXE,现在变成了C:\WINDOWS\SYSTEM\Sysexplr.exe,你就中上木马了。
同样道理,你点击EXE也可能中木马,点HTM也可能中木马,这完全在于注册表。
这样的木马就麻烦多了,只有你先找到木马,然后再到注册表中去找了。所以,平时请你多注意看看TCPVIEW,看看有没有端口打开着。
注册表的的启动一般就这两种,启动组和非启动组。如果是修改其他的文件,那么也可以用同样的办法。
到硬盘上去找包含该木马文件名的INI和EXE或者DLL文件。
如果找到INI文件,先打开看看是在什么位置,比如是foxmail.ini的话,启动foxmail看看,木马是不是进入内存,端口有没有打开,如果是的话,那么是foxmail.ini被修改了,帮助木马启动。请修改INI文件,就可以了。
如果是其他的EXE文件启动,那么运行这个程序,木马是不是被装入内存,端口呢?是的话,说明要么是该文件启动木马程序的,要么是该文件捆绑了木马程序。
如果是WINDOWS自带的程序,你可以到安装光盘上去释放一个出来,覆盖一下就行了。
如果是你自己安装的程序,你看着办好了,可以到其他地方弄一个来,可以重新安装一下。
如果是DLL文件,可以比照EXE文件的办法。另外,请注意后缀名是DL的文件。
再来一点常识,现在的硬盘很大,C盘上有1000M的文件是不希奇的了,如果
你找每个文件的话就累死了。你可以找小于4M或者3M的文件,理由是:我们的猫最快也不过是56K,如果黑客真的进入了我的电脑,把一个捆绑文件送到C盘上,其过程就等于我在下载文件,黑客不可能高速地往我的电脑中上传文件,因为会被我发现,黑客也不可能象网络蚂蚁一样多线程并且断点续传,所以要往我的电脑中上传3M的文件需要很长时间,而且这个黑客要有很大的耐心,至于10M左右的文件更是不可能了,所以,你只需要在硬盘上找3M或者4M一下的文件就可以了。
除了上面说的启动木马情况外,最常见的就是捆绑木马了。比如将木马捆绑到浏览器上,你开机检查没有可以端口开放就很放心了,上网以后一打开浏览器,木马被附带启动了,木马端口打开,黑客可以进入了。
捆绑有两种办法,一种是手动的,一种是木马自带捆绑配置工具,两种情况都一样,按照捆绑的先后次序,可以分为主程序和次程序,一般将原程序作为主程序,将木马程序做次程序,不过将木马做主程序也是可以的。举例说捆绑到了IRC上了,你只要启动捆绑后的IRC程序后,主程序不变,照样启动,同时会在系统的临时文件夹生成次程序并执行,默认的临时文件夹是c:\windows\temp。这样,办法就来了,你可以经常去看看临时文件夹,有什么程序没有?可能发现的是原程序,也可能是木马。删除的办法么,简单,重新安装一次。因为木马是捆绑的,木马样本很难备份,不利于以后学习。
大家也不要自己吓自己,经常不打扫TEMP目录的人,可能有上千个文件,也有可能有程序在,但不是木马,如果你运行WINZIP压缩包中的程序,就会在TEMP目录中生成文件的。
这仅仅是简单的查找方法,一来,如果你没有运行捆绑程序,你就不能发现,二来这种查找办法不是很彻底。要想完全删除未知的木马捆绑程序是一件很困难的事情,对于已知的木马捆绑程序,你可以用特征字符串查找一下,在前面,我已经列出了很多木马的特征字符串,你可以在硬盘上找小于3M的可执行文件有没有包含这些特征字符串。
好了,发现和删除木马就写到这里了。
五、防御工具LockDown
我使用的LOCKDOWN的版本是4.0.1.6。在网络上很多人已经对网络安全有所重视,LOCKDOWN被认为是最好的动态防护装置,我就讲讲我的心得。
LD能监视几个WINDOWS的系统文件,如注册表和SYSTEM.INI等,如果注册表发生改变,就告诉你。那么当你不小心运行了某些包含木马的软件,它就会提醒你。它的好处在于,能随时监视注册表等文件的变化,你不用担心误操作,它会提醒你,并且对删除
木马有帮助。坏处是,如果你以前已经安装了木马,那么会被它认为是合法的,它只注意LD安装以后的变化。
还有,大部分木马的启动方式是加载到系统程序上,并以单独文件存在,启动方式是由系统程序叫醒木马,然后运行的。有些木马并不是加载到注册表或者系统程序上,如捆绑在某个文件上。这两种情况,LD可能忽视。
LD已经取得了488个木马的特征,如果你中了这些木马,那么可以由它帮你删除,但是,它的木马列表也不是最全的,我所知道的几个木马就查不出来。
LD监视黑客的非法入侵过程很详细,监视必须要打开端口,LD打开以下端口进行监视:54320、53、12345、30029、4950、139、1243。比如12345端口是木马NetBus木马所开启的,当黑客想进入你的12345端口的时候,LD就会报警,并显示黑客的IP地址。
我们现在知道木马有很多种,开启的默认端口也有很多,为什么LD不监视所有的端口?因为内存不够,TCP/IP协议规定端口范围是1-65335之间,因为内存的原因,不可能打开所有端口监视,如果你中了某个木马,而木马所开启的端口不在LD监视范围内,那么LD是不会报警的。
你可以做这样一个试验,先关闭LD,然后运行netspy.exe,让自己中木马,然后开启LD,这时候,你试试看进入自己的电脑,LD不会告诉你有人进入了你的电脑了。
当然,LD会发现注册表的改变,那么不加载注册表的木马呢?所以说LD也不是能发现所有的黑客进入你的电脑的。
另外,LD会神经过敏,当你打开LD监视的时候,再用扫描器扫描自己的端口,如果扫过12345就会告诉你NetBus木马入侵,如果扫过1243就会告诉你SUB7入侵你的电脑。你可以试验一下,在浏览器中输入http://自己的IP地址:1243/,那么LD马上告诉你有黑客使用SBU7攻击你,这个黑客的IP地址就是你的IP地址。
LD还号称可以防御炸弹,我用了一个最新的炸弹立马把自己炸死了,看来还是说大话的。
不过话得说回来,你毕竟不是木马专家,不能删除所有木马,请LD出来扫描你的硬盘还是必要的。