文件对比查杀嵌入式木马(3)

　　卷的序列号是 6078-F043

　　D:\test 的目录

　　2005-12-04 11:59a　　　　 26,772,480 dx81setup.exe

　　2005-12-04 11:59a　　　　　　 473,600 g5setup解码.exe

　　2 个文件　　 27,246,080 字节

　　0 个目录　　505,454,592 可用字节

　　dll.txt文件：

　　驱动器 D 中的卷是 娱乐

　　卷的序列号是 6078-F043

　　D:\test 的目录

　　2005-03-31 02:52a　　　　　　 36,924 php5apache.dll

　　2005-03-31 02:52a　　　　　　 36,925 php5apache2.dll

　　2005-03-31 02:52a　　　　　　 53,314 php5apache_hooks.dll

　　3 个文件　　　　127,163 字节

　　0 个目录　　505,454,592 可用字节

　　步骤二：我向test文件夹中拷贝几个exe和dll文件进去，再次重复步骤一，得到exe1.txt和dll1.txt两个文件，同样他们位于test文件夹中。

　　步骤三：比较exe.txt和exe1.txt文件以及dll.txt和dll1.txt文件，运行CMD--fc exe.txt exe1.txt>change.txt &fc dll.txt dll1.txt>change.txt，如下图所示：

　　对比后得到changedll.txt和changeexe.txt两个文件内容如下：

　　changedll.txt：

　　正在比较文件 dll.txt 和 DLL1.TXT

　　***** dll.txt

　　2005-03-31 02:52a　　　　　　 36,924 php5apache.dll

　　***** DLL1.TXT

　　2005-03-31 02:52a　　　　　　 417,792 fdftk.dll

　　2005-03-31 02:52a　　　　　　 90,112 fribidi.dll

　　2005-03-31 02:52a　　　　　　 346,624 gds32.dll

　　2005-03-31 02:52a　　　　　　 36,924 php5apache.dll

　　*****

　　***** dll.txt

　　2005-03-31 02:52a　　　　　　 53,314 php5apache_hooks.dll

　　3 个文件　　　　127,163 字节

　　0 个目录　　505,454,592 可用字节

　　***** DLL1.TXT

　　2005-03-31 02:52a　　　　　　 53,314 php5apache_hooks.dll

　　6 个文件　　　　981,691 字节

　　0 个目录　　475,787,264 可用字节

　　*****

　　其中我们只需看上面我加粗的部分，这部分内容为增加的文件。加粗部分上面一段dll.txt内容只显示一行信息2005-03-31 02:52a 36,924 php5apache.dll，其他文件内容信息省略了，这一行内容就代表了dll.txt中的内容，而加粗这部分DLL1.TXT中的2005-03-31 02:52a 36,924 php5apache.dll就代表了dll.txt中所有内容，剩下的就是我加粗了的文件了，即增加了的文件。

　　changeexe.txt：

　　正在比较文件 exe.txt 和 EXE1.TXT

　　***** exe.txt

　　2005-12-04 11:59a　　　　　　 473,600 g5setup解码.exe

　　2 个文件　　 27,246,080 字节

　　0 个目录　　505,454,592 可用字节

　　***** EXE1.TXT

　　2005-12-04 11:59a　　　　　　 473,600 g5setup解码.exe

　　2005-12-04 12:02p　　　　 13,058,048 mpsetup.exe

　　2004-10-30 09:11a　　　　 11,761,184 RealPlayer10-5GOLD_cn.EXE

　　2005-12-04 12:02p　　　　 3,963,392 Winamp278cn_DFX_Blue.EXE

　　5 个文件　　 56,028,704 字节

　　0 个目录　　475,787,264 可用字节

　　*****

　　以上增加了的内容为：

　　2005-12-04 12:02p　　　　 13,058,048 mpsetup.exe

　　2004-10-30 09:11a　　　　 11,761,184 RealPlayer10-5GOLD_cn.EXE

　　2005-12-04 12:02p　　　　 3,963,392 Winamp278cn_DFX_Blue.EXE

　　步骤四：判断以上增加的内容是否是自己，曾经安装在test文件夹中的exe或者dll文件，如果不是则删除即可。

　　结束语

　　总而言之要查杀这类嵌入式木马最有效的办法就是文件对比法，除了上面介绍的一些缩小查找范围的办法外，用户还可以自己再发挥想象把范围缩至最小，从而更加准确的查杀此类嵌入式木马，让嵌入式木马在我们面前无法遁形。