使用SysInspector来找小马(drak).docVIP

【暗组第三期活动】使用SysInspector来找小马(drak) 本期呢，我使用SysInspector，介绍SysInspector是因为网络上还不是很多这方面的教程，没什么技术含量，其实我个人觉得这篇文章也没什么好写的，因为方法都差不多，就是那几种方法。不过我还是写写点，顺便巩固巩固，跟大家交流交流 以下测试环境是在 Winxp sp3（win7的马，现在不多也没去研究） SysInspector（暗组2010最新工具包有，大家自己也可以去下载） 工具介绍篇 首先呢，我先来看看SysInspector的介绍： ESET SysInspector是一个分析电脑作业系统、处理程序、登录档和网路连接的免费应用程式。 　　它可助你轻松地收集电脑中的系统数据并储存成纪录档，再送往技术支援专家分析，作威胁评估。 简单来说，你可以藉由ESET SysInspector汇出的记录档，把电脑中所收集到的系统数据和资料传送给IT专家作分析和威胁评估。这不但帮助你比以前更快捷和客易处理电脑中的恶意程式，而且同时亦维护了客户个人隐私的需要。因为汇出记录档时，你可选择ESET SysInspector替你排除所有私人资料、机密数据和重要档案，所以就算记录档内容被张贴于一些电脑技术讨论区时，使用者也不用担心隐私会被泄漏出去。 1目录：SysInspector所检测的项目，一目了然 2列表：选择相应目录就会列出相应的列表以显示相应的目录内容 3信息区：显示具体列表中的某个文件相关信息 4：其他：SysInspector的其他的选项 别的一看就懂，就是那个项目筛选的后面的长条可以说一说，我们可以拖动他来显示相应的风险等级内容。 菜单栏里面的“文件”，“保存日志”可以生成报告让别人来帮你分析 查杀篇 了解了SysInspector的基本界面后，下面我们来看看怎么用SysInspector，我们先找drat（新建服务）。当然还有许多种马儿，大同小异 1：首先我们配个小马,用drat，我们先选择新建服务的方式，如图： 服务安装名，描述都是一目了然，大家都明白。测试下，上线成功如图： 2：我把生成的马儿放到虚拟机，把其他无关程序关闭，这样好分析，运行小马，打开SysInspector 因为事先我们不知道是否中了木马，我们可以先靠感觉来粗略判断，比如： 没有运行什么程序系统变得很卡 没有下载东西，打开网页非常慢，如果你有360的话发现360流量监测在没有下载的情况下也飞的很高。 系统无法显示隐藏文件，cpu占用率100%，任务管理器不能打开，杀毒软件无法发开或者能打开无法升级 等等 非常多….. 有这些情况说明有可能就是中马了 3：（正在运行的进程）下面开始分析了，我们可以选择看进程，或者直接看“网络连接”，都可以，这里我们先看看进程，打开“正在运行的进程”，右边列表会显示该进程加载的模块，我们发现有的进程是绿色，有的是橙色，甚至有红色，一般而言绿色代表进程安全和良好，橙色代表未知，有一定的风险，红色代表危险（当然这不是绝对的，还要综合其他情况） 下面我们看看有那些不常见的进程（需要经验）如图： 我们先看橙色的，一排下来不常见的只有userinit.exe。这是个什么进程我们不了解，我们先选择他。（Userinit.exe是Windows操作系统一个关键进程。用于管理不同的启动顺序，例如在建立网络链接和Windows壳的启动。Userinit.exe是Windows操作系统一个关键进程。用于管理不同的启动顺序，例如在建立网络链接和Windows壳的启动。系统刚启动时,如果你调出任务管理器就会看到userinit.exe ,但过一段时间,系统各项加载完毕后,userinit.exe就会自动消失的机后在进行其他操作之前即开始备份，这样可以防止其他程序加载进程。在运行中输入“cmd”，然后输入“tasklist/svcX:\processlist.txt”(提示：不包括引号，参数前要留空格，后面为文件保存路径)回车。这个命令可以显示应用程序和本地或远程系统上运行的相关任务/进程的列表。输入“tasklist /?”可以显示该命令的其它参数。….而且还通过注册表来自行启动，现在可以很怀疑这个进程是木马的一个进程 5：（网络连接）我们接着往下面看，点击“网络连接”—“tcp链接”再次发现userinit.exe的诡异动作，现在基本可以确定了 6：（重要注册表条目）我们继续往下面看，点击“重要注册表条目”—“标准自动运行”又次发现userinit.exe，而且显示的是绿色的，可见绿色的不一定安全（可以右键之打开注册表） 这里顺便说说“重要注册表条目”下面的其他常用分支内容 Winlogon Notify：这是关于系统