扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
在本页阅读全文(共3页)
四、检测伴生木马进程
有一些程序在运行时会同时在内存中解压并运行隐蔽的后门,因此检测程序的伴生进程是很重要的一个步骤。
1.生成进程记录文件
点击“开始”→“运行”菜单,执行“cmd.exe”命令,打开命令提示符窗口。在命令提示符下执行命令:“tasklist >D:\1.txt”,成功后将会在D盘下生成一个名为“1.txt”的文件,其中记录了当前系统中所有的进程名。
运行程序后,再次执行命令:“tasklist >D:\2.txt”,将会生成新的进程记录文件“2.txt”。
3.对比进程列表
在命令提示符窗口中执行命令:“FC D:\1.txt D:\2.txt >D:\3.txt”,成功后将会自动对比两个进程记录文件中的不同,并生成对比文件。打开对比文件“3.txt”,可以看到程序运行后只产生了一个名为“domain3.5.exe”的进程(如图7)。
图7
4.检测隐藏进程
不过Windows中自带的进程管理命令,无法显示一些内核级或带有ROOTKIT隐藏性能的进程,因此还是需要检测程序运行时是否产生了隐藏的间谍进程。可使用我们以前介绍过的IceSword工具,使用方法很简单,这里就不多作介绍了。
有的程序本身就可能有后门组件,开启后没有执行功能即会在后台收集用户私密数据。要发送数据就必须打开端口,因此只要检测系统中是否打开了多余的端口。
运行IceSword,点击左侧“查看”→“端口”,在右侧观察系统端口开放情况。然后运行程序后,在窗口中点击右键,选择“刷新列表”命令,可以看到程序连接了远程主机的8080端口(如图8)!在程序中很有可能包含着某些后门!那就跟踪分析一下后门程序究竟干了些什么!
图8
六、嗅探后门程序
首先,运行Winsock Expert,点击工具栏“打开”,在对话框中点击程序进程名,再点击确定按钮,开始嗅探。在嗅探过程中,笔者进行了正常的网络操作,浏览一些网页撰写了一个文档。过了大约二十分钟后,返回嗅探数据窗口。查看其中“Status”栏中有“send”标记的,点击该列数据,下方窗口显示程序向远程服务器发送了数据信息(如图9)。没想到其中居然有“Username”之类的字符串!虽然发送的数据串看起来比较奇怪,但肯定是发送用户名数据的,那密码之类的信息肯定也被记录发送了!
图9
没想到随便下载的一个所谓“黑客工具”,里面居然有这样的猫腻,笔者赶快关闭了程序并将其彻底清除出系统。网上下载的软件使用时真的要慎重啊!如果碰上一些可疑的程序,可以按笔者介绍的方法时行检测,看看这个程序是不是真的干净!
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。