科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道文件对比查杀嵌入式木马(3)

文件对比查杀嵌入式木马(3)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

随着计算机的发展,木马技术也在不停的发展,以冰河为首的老一代经典木马已经开始慢慢消失在经典木马行列中,取而代之的则是新一代的嵌入式木马,也就是通常所说的dll型注入式木马。
  • 评论
  • 分享微博
  • 分享邮件

  卷的序列号是 6078-F043

  D:\test 的目录

  2005-12-04 11:59a     26,772,480 dx81setup.exe

  2005-12-04 11:59a       473,600 g5setup解码.exe

  2 个文件   27,246,080 字节

  0 个目录  505,454,592 可用字节

  dll.txt文件:

  驱动器 D 中的卷是 娱乐

  卷的序列号是 6078-F043

  D:\test 的目录

  2005-03-31 02:52a       36,924 php5apache.dll

  2005-03-31 02:52a       36,925 php5apache2.dll

  2005-03-31 02:52a       53,314 php5apache_hooks.dll

  3 个文件    127,163 字节

  0 个目录  505,454,592 可用字节

  步骤二:我向test文件夹中拷贝几个exe和dll文件进去,再次重复步骤一,得到exe1.txt和dll1.txt两个文件,同样他们位于test文件夹中。

  步骤三:比较exe.txt和exe1.txt文件以及dll.txt和dll1.txt文件,运行CMD--fc exe.txt exe1.txt>change.txt &fc dll.txt dll1.txt>change.txt,如下图所示:

  

  

  

  对比后得到changedll.txt和changeexe.txt两个文件内容如下:

  changedll.txt:

  正在比较文件 dll.txt 和 DLL1.TXT

  ***** dll.txt

  2005-03-31 02:52a       36,924 php5apache.dll

  ***** DLL1.TXT

  2005-03-31 02:52a       417,792 fdftk.dll

  2005-03-31 02:52a       90,112 fribidi.dll

  2005-03-31 02:52a       346,624 gds32.dll

  2005-03-31 02:52a       36,924 php5apache.dll

  *****

  ***** dll.txt

  2005-03-31 02:52a       53,314 php5apache_hooks.dll

  3 个文件    127,163 字节

  0 个目录  505,454,592 可用字节

  ***** DLL1.TXT

  2005-03-31 02:52a       53,314 php5apache_hooks.dll

  6 个文件    981,691 字节

  0 个目录  475,787,264 可用字节

  *****

  其中我们只需看上面我加粗的部分,这部分内容为增加的文件。加粗部分上面一段dll.txt内容只显示一行信息2005-03-31 02:52a 36,924 php5apache.dll,其他文件内容信息省略了,这一行内容就代表了dll.txt中的内容,而加粗这部分DLL1.TXT中的2005-03-31 02:52a 36,924 php5apache.dll就代表了dll.txt中所有内容,剩下的就是我加粗了的文件了,即增加了的文件。

  changeexe.txt:

  正在比较文件 exe.txt 和 EXE1.TXT

  ***** exe.txt

  2005-12-04 11:59a       473,600 g5setup解码.exe

  2 个文件   27,246,080 字节

  0 个目录  505,454,592 可用字节

  ***** EXE1.TXT

  2005-12-04 11:59a       473,600 g5setup解码.exe

  2005-12-04 12:02p     13,058,048 mpsetup.exe

  2004-10-30 09:11a     11,761,184 RealPlayer10-5GOLD_cn.EXE

  2005-12-04 12:02p     3,963,392 Winamp278cn_DFX_Blue.EXE

  5 个文件   56,028,704 字节

  0 个目录  475,787,264 可用字节

  *****

  以上增加了的内容为:

  2005-12-04 12:02p     13,058,048 mpsetup.exe

  2004-10-30 09:11a     11,761,184 RealPlayer10-5GOLD_cn.EXE

  2005-12-04 12:02p     3,963,392 Winamp278cn_DFX_Blue.EXE

  步骤四:判断以上增加的内容是否是自己,曾经安装在test文件夹中的exe或者dll文件,如果不是则删除即可。

  结束语

  总而言之要查杀这类嵌入式木马最有效的办法就是文件对比法,除了上面介绍的一些缩小查找范围的办法外,用户还可以自己再发挥想象把范围缩至最小,从而更加准确的查杀此类嵌入式木马,让嵌入式木马在我们面前无法遁形。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章