学盟网是一个互助、分享,一起学习和成长的公益平台,学盟网,有你更精彩!按Ctrl+D收藏学盟网!
当前位置:首页 > 教程 > 杀毒软件 > eset nod32 → 使用ESET SysInspector来找木马(原理)

使用ESET SysInspector来找木马(原理)

时间:2015-05-25 14:56:45 作者:小猪 来源:eset nod32 阅读:

本期呢,我使用SysInspector,介绍SysInspector是因为网络上还不是很多这方面的教程,没什么技术含量,其实我个人觉得这篇文章也没什么好写的,因为方法都差不多,就是那几种方法。不过我还是写写点,顺便巩固巩固,跟大家交流交流

  以下测试环境是在

Winxp sp3

SysInspector

工具介绍篇

首先呢,我先来看看SysInspector的介绍:

  ESET SysInspector是一个分析电脑作业系统、处理程序、登录档和网路连接的免费应用程式。

  它可助你轻松地收集电脑中的系统数据并储存成纪录档,再送往技术支援专家分析,作威胁评估。

简单来说,你可以藉由ESET SysInspector汇出的记录档,把电脑中所收集到的系统数据和资料传送给IT专家作分析和威胁评估。这不但帮助你比以前更快捷和客易处理电脑中的恶意程式,而且同时亦维护了客户个人隐私的需要。因为汇出记录档时,你可选择ESET SysInspector替你排除所有私人资料、机密数据和重要档案,所以就算记录档内容被张贴于一些电脑技术讨论区时,使用者也不用担心隐私会被泄漏出去。

这是这款工具收集资料全,缺点就是启动的有点慢(收集信息),不能实时更新信息,并且对端口没有涉及到,他的界面如下:

1目录:SysInspector所检测的项目,一目了然

2列表:选择相应目录就会列出相应的列表以显示相应的目录内容

3信息区:显示具体列表中的某个文件相关信息

4:其他:SysInspector的其他的选项

         别的一看就懂,就是那个项目筛选的后面的长条可以说一说,我们可以拖动他来显示相应的风险等级内容。

       菜单栏里面的“文件”,“保存日志”可以生成报告让别人来帮你分析

查杀篇

了解了SysInspector的基本界面后,下面我们来看看怎么用SysInspector,我们先找drat新建服务)。当然还有许多种马儿,大同小异

1首先我们配个小马,drat,我们先选择新建服务的方式,如图:

服务安装名,描述都是一目了然,大家都明白。测试下,上线成功如图:

2我把生成的马儿放到虚拟机,把其他无关程序关闭,这样好分析,运行小马,打开SysInspector

因为事先我们不知道是否中了木马,我们可以先靠感觉来粗略判断,比如:

(1) 没有运行什么程序系统变得很卡

(2) 没有下载东西,打开网页非常慢,如果你有360的话发现360流量监测在没有下载的情况下也飞的很高。

(3) 系统无法显示隐藏文件,cpu占用率100%,任务管理器不能打开,杀毒软件无法发开或者能打开无法升级 等等 非常多…..

    有这些情况说明有可能就是中马了

3(正在运行的进程)下面开始分析了,我们可以选择看进程,或者直接看“网络连接”,都可以,这里我们先看看进程,打开“正在运行的进程”,右边列表会显示该进程加载的模块,我们发现有的进程是绿色,有的是橙色,甚至有红色,一般而言绿色代表进程安全和良好,橙色代表未知,有一定的风险,红色代表危险(当然这不是绝对的,还要综合其他情况)

下面我们看看有那些不常见的进程(需要经验)如图:

我们先看橙色的,一排下来不常见的只有userinit.exe。这是个什么进程我们不了解,我们先选择他。(Userinit.exeWindows操作系统一个关键进程。用于管理不同的启动顺序,例如在建立网络链接和Windows壳的启动。Userinit.exeWindows操作系统一个关键进程。用于管理不同的启动顺序,例如在建立网络链接和Windows壳的启动。系统刚启动时,如果你调出任务管理器就会看到userinit.exe ,但过一段时间,系统各项加载完毕后,userinit.exe就会自动消失的

如果你实在不熟悉进程,我们可以在平常备份一份进程列表,以便对照,方法如下:机后在进行其他操作之前即开始备份,这样可以防止其他程序加载进程。在运行中输入“cmd”,然后输入“tasklist/svc>X:\processlist.txt”(提示:不包括引号,参数前要留空格,后面为文件保存路径)回车。这个命令可以显示应用程序和本地或远程系统上运行的相关任务/进程的列表。输入“tasklist /?”可以显示该命令的其它参数。

4:我们发现userinit.exe这个进程在列表区没什么异常的,别着急,我们在看看信息区,不看不知道,一看吓一跳,居然发现有网络连接,有写入注册表自启动,如图:

其中的网络链接是由本地连接到某IP,端口是2010….而且还通过注册表来自行启动,现在可以很怀疑这个进程是木马的一个进程

5(网络连接)我们接着往下面看,点击“网络连接”—“tcp链接”再次发现userinit.exe的诡异动作,现在基本可以确定了

6(重要注册表条目)我们继续往下面看,点击“重要注册表条目”—“标准自动运行”又次发现userinit.exe,而且显示的是绿色的,可见绿色的不一定安全(可以右键之打开注册表)

这里顺便说说“重要注册表条目”下面的其他常用分支内容

Winlogon Notify:这是关于系统用户登陆程序,管理用户登录和退出方面的内容,一些病毒会修改这里,比如W32.Netsky.D@mm 蠕虫病毒,或者落雪等,经常把winlogon.exe变成WINLOGON.EXE

浏览器帮助对象:就是看看浏览器装了什么插件

Internet explorer:这里是关于IE浏览器的方面的,可以看到主页被修改等一些内容

Shell打开命令:跟文件关联有关

7(服务)继续往下看,点击“服务”,马上发现我们刚才装的小马,如图:

我们发现这个服务被标为红色,说明很危险,果不其然…..其次还发现了这个木马在system32下留下了个system64.exe这个是DRAT主要通信模块,手工清除只要进入安全模式到系统目录system32下删除即可)这个文件,我们可以右键改服务,选择“打开所在目录”

进行删除

8驱动程序

驱动程序也是很多可能被木马盯上,这些驱动木马, 使用了 Rootkit 技术可以隐藏进程,文件,端口等等,使用这种技术隐藏的木马是比较难查杀到的,

所幸的是我们这里没什么异常

9(关键文件)为了确保万一我们继续点“关键文件”分别是:

Win.ini:这也 木马经常来的地方,在它的[windows]字段中有启动命令“load=”和“run=”,在一般情况下“=”后面是空白的,如果有后跟程序,比方说是这个样子:run=c:\windows\file.exe load=c:\windows\xxx.exe

那么xxx有可能就是……

System.ini:在该文件的[boot]字段中,如果有shell=Explorer.exe xxxx.exe,一般都是木马 ,此外,在System.ini中的[386Enh]字段,要注意检查在此段内的“driver=路径\程序名”,这里也有可能被木马所利用。再有,在System.ini中的[mic][drivers][drivers32]这三个字段,这些段也是起到加载驱动程序的作用,但也是增添木马程序的好场所。

Hosts:Hosts是一个没有扩展名的系统文件,可以用记事本等工具打开,其作用就是将一些常用的网址域名与其对应的IP地址建立一个关联数据库,当用户在浏览器中输入一个需要登录的网址时,系统会首先自动从Hosts文件中寻找对应的IP地址,一旦找到,系统会立即打开对应网页,如果没有找到,则系统再会将网址提交DNS域名解析服务器进行IP地址的解析。

我们这里上面三项都没什么异常

10 (文件详细资料)最后一项我们再看看,文件详细资料这里面收集了系统关键的一些文件,一看就是那个sysytem64.exe……红色的,如图:

到现在我们已经分析的差不多了,主要是sysytem64.exeuserinit.exe,服务

我想应该是:通过注册表每次启动userinit.exe建立网络链接.再系统服务启动sysytem64.exe来为DRAT通信,

既然知道了是什么引起的我们就可以对症下药,重启 F8 到安全模式下 删除sysytem64.exe 并且右键“我的电脑”—“管理”—“服务和应用程序”找到木马服务设置成禁用,如图:

这就是用SysInspector的手工查找的过程,需要说明的一点是:上面的木马新建服务是很明显的,但是一般人都会把他伪装成系统的服务,比如:“windows核心组件服务支持”等给我们判断带来很大的障碍,这就需要大家细心了。

(灰鸽子黑客手册版本)但是还有一个问题就是,上面我们是通过某个进程来进一步查找的,倘若进程列表里面都是“常见”进程呢那该怎么办?  这次我们用鸽子来做例子(暗组2010工具包,黑客手册版),关键配置如下:为了方便我就不选择安装后自删

好,同样放到虚拟机去运行,上线成功,我就不截图了,关闭其他无关紧要的程序,减小判断难度,打开SysInspector,我们依旧先看进程,还是以橙色优先,如图,都是正常的进程

但是我们发现,我们没有启动IE,为什么有个IE进程,而IE是橙色的….

我们不妨点击去看看,在信息去发现如下信息

又有连接到IP…端口是8000(鸽子默认端口)

tcp连接里面IE异常

服务项我们发现异常服务,路径为cwindows\aNoHack.cn.exe(被标为黄色)

到现在基本可以确定了,木马是同过IE进程启动服务端的,我们只要在安全模式下删除相应的服务和windows下的aNoHack.cn.exe(需要设置显示系统保护文件)就可以了。

(极光2009)不过上面都是有显示异常进程的,要是木马是注入某个进程的话,那就不好找了,比如极光2009,我们同样看看配置:

我们选择注入的是explorer.exe,那么在运行后在任务管理器里面是看不到新的进程(不像上线那个有userinit.exeie进程),这样光从任务管理器是无法判断的,我们可以直接点“网络连接”马上发现explorer.exe进程异常

在“服务”列表中也发现异常服务

在“文件详细资料”中发现异常文件

综上所属,SysInspector是一个比较全面的安全辅助工具,收集的资料比较完整,还会以不同的颜色显示不同的风险级别,以便用户操作判读。但是没有端口的监听,且不实时更新,启动速度慢是他的缺点。

本文也没牵扯到端口的内容,大家可以看看其他的帖子

另外对于DLL木马的查杀需要查找DLL文件,除了用SysInspector查看外,这里也有个简便的方法,一般系统DLL文件都保存在system32文件夹下,我们可以对该目录下的DLL文件名等信息作一个列表,打开cmd,利用CD命令进入system32目录,然后输入“dir *.dll>X:\listdll.txt”敲回车,这样所有的DLL文件名都被记录到listdll.txt文件中

。日后如果怀疑有木马侵入,可以再利用上面的方法备份一份文件列表“listdll2.txt”,然后利用“UltraEdit”等文本编辑工具进行对比;或者在命令行窗口进入文件保存目录

,输入“fc listdll.txt listdll2.txt”,这样就可以轻松发现那些发生更改和新增的DLL文件,进而判断是否为木马文件。

其实总结下无外乎就是端口扫描,查看连接,检查注册表。查找文件,服务等(驱动程序/动态链接木马扫描端口好像不起作用的)

杀毒软件子分类
文章目录

CopyRight © 2011-2016 学盟网 www.xuenb.com All Rights Reserved.

'); })();