多管齐下 揪出隐藏的后门木马

二、监视安装过程，后门别想混进

确认开启了KV2006实时监控中的“文件监控”与“注册表监控”功能，开始安装下载的安全工具，在安装过程中KV2006未提示发现病毒，不过注册表监控功能有了提示（如图3）！

图3

刚才安装程序对注册表动了什么手脚呢？点击KV2006界面菜单“工具”→“木马一扫光”，打开木马一扫光工具窗口。点击菜单“查看”→“拦截记录”，在中间的列表窗口中显示了被修改注册表键值是“HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion\Explorer\ Browser Helper Objects”，该注册表项用于管理IE插件的加载（如图4）。打开IE浏览器，看到工具栏中居然多出了一个“情色搜索”的按钮。

图4

没办法，只好在“运行”中输入“regedit.exe”，执行后打开注册表管理器，找到拦截的注册表键，将其删除掉。最后再次用KV2006扫描程序的安装目录及整个系统，确认系统中没有感染木马及病毒，继续下面的检测。

三、勘察程序留下的脚印

有的程序虽然没有为系统带来木马和病毒，但是却无法完全彻底的卸载清除，会在系统中留下一些后门，悄悄记录用户私密数据。恢复干净的系统后，笔者进行了如下的卸载测试：

1.生成快照

在安装程序前，首先运行了快照工具Regshot，设置“比较记录另存为HTML文档”；勾选“扫描”项，设置“快照目录”为“C:\”；在“输出路径”中设置对比文件保存在“D:\”。然后点击“摄取1”→“摄取并存档”命令，程序开始对当前系统文件及注册表情况生成快照（如图5）。

图5

然后安装程序，运行一段时间后，将程序卸载掉，切换回Regshot程序。点击界面中的“摄取2”→“摄取并存档”命令，程序开始扫描程序卸载后的系统文件及注册表情况并生成快照文件。

2.快照对比

点击“比较”按钮，程序开始对比两次快照文件的不同，对比完毕自动打开比较记录文件。可以看到程序卸载后，未在硬盘中保留其它多余的文件，但是那个注册表键值还保留着的（如图6）。

图6