科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道文件对比查杀嵌入式木马(2)

文件对比查杀嵌入式木马(2)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

随着计算机的发展,木马技术也在不停的发展,以冰河为首的老一代经典木马已经开始慢慢消失在经典木马行列中,取而代之的则是新一代的嵌入式木马,也就是通常所说的dll型注入式木马。
  • 评论
  • 分享微博
  • 分享邮件

  如果系统在以后的使用中出现异常而用传统的方法查不出来的时候,我们就要考虑是不是嵌入式木马在捣乱了,此时我们再次运行CMD--转换目录到system32--dir *.exe>exe1.txt &dir*.dll>dll1.txt将system32下的exe和dll文件分别再记录到exe1.txt和dll1.txt中,接下来我们就可以对2次记录的文件进行比较了,来判断是否存在嵌入式木马,方法如下:运行CMD--fc exe.txt exe1.txt>change.txt &fc dll.txt dll1.txt>change.txt,其含义为用fc命令比较exe和dll的2次记录文件,并将结果输出到change.txt中。这时我们就可以从change.txt中发现发生变化的exe和dll文件以及多出来的exe和dll文件,最后我们查看这些文件的创建时间、版本、是否经过压缩等就能够比较容易地判断出是不是已经被DLL木马修改了。

  如果有的话,在没有把握的情况下就把dll文件先删除到回收站中,以便误删以后还能文件还原,如果重新启动后系统没有任何异常,我们就可以彻底删除此dll文件了。但同时由于有的进程调用的DLL文件非常多,使得靠我们自己去一个一个去核对变的不太现实,所以此时我们可以借助一些工具来帮助我们缩小范围,其中NT进程/内存模块查看器ps.exe就是一款很不错的工具,用命令ps.exe /a /m >usedll.txt将系统目前正在调用的所有DLL文件名称保存到usedll.txt中,然后再用fc dll.txt usedll.txt>changenow.txt把比较结果输出到changenow.txt中,这样我们就能大大的缩小查找范围。同时端口也是值得我们重视的一部分,我们可以用进程端口查看工具Fport.exe来查看与端口对应的进程,一般木马开放的是高端口(但也不排除其使用了端口转发和复用技术)样还可以将范围缩小到具体的进程,然后结合Procedump.exe这款脱壳工具来查看此进程调用的dll文件,再利用上面介绍的文件比较法来比较,从而使得查找DLL木马变的更容易。针对端口我们还可以使用嗅探的方法来嗅探端口所传输的数据,如果数据异常则,再使用Fport来找出端口所对应进程然后再重复以上步骤。

  实战文件对比法

  以上讲了这么多方法来揪出嵌入式木马,也许大家看着这些操作无从做起,以下我将给出文件对比的主要步骤。

  ◆应用环境◆

  Windows2000pro,d:/test文件夹的对比

  ◆实战流程◆

  步骤一:进入d盘test文件夹,对test文件夹下内容进行记录,运行CMD--转换目录到d:/test--dir *.exe>exe.txt &dir *.dll>dll.txt,如下图所示:

  

  

  

  这样我们就会在d:/test下生成exe和dll两个记事本文件,内容分别如下:

  exe.txt文件:

  驱动器 D 中的卷是 娱乐

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章