常见木马技术和手动检测方法.doc

常见木马技术和手动检测方法 所有病毒case, Symantec用户抱怨的无非两项，一是查不到病毒，二是不断的查到相同的病毒（绝大多数是木马downloader, backdoor.trojan）。木马是什么？是一个有恶意行为程序。杀毒软件怎么查杀它？特征码和行为分析。如果一个木马在技术上或者创意上做的稍微好些，我觉得杀毒软件对于已经中毒的电脑很难起到作用，经常是查到了一部分，落掉一部分，而落掉的部分又会监控、恢复被查杀的部分，造成上面所说的第二种情况，而这又一定会包含第一种情况。 木马既然是程序，恶意程序，那它运行也不免会露出蛛丝马迹，程序运行的两个必要条件—进程（模块，线程）和加载（自启动和触发）。那我们查找木马也从这两个大的方向入手，理论上可以找出所有木马，但是这跟做数学题一样，大方法是有的，但是操作过程千变万化的。 工欲善其事，必先利其器。首先要找几个适合自己的工具：主工具我个人喜欢用冰刃，它能干大部分的检查启动项和进程监控。兵刃功能上的不足，利用其他的软件补充。 FileMon和RegMon可以查找针对特定文件和注册表的进程信息；ProceXP可以模块反向查找进程，也可以看出进程之间的调用关系；SSDT—Hook修复，SSDT—Inline—Hook修复工具（兵刃可以看到SSDT,但没有修复功能），但是冰刃也可以看到绝大多数的使用隐藏技术的进程和线程；SRENG可以显示进程、模块、驱动的签名（可以提高我们的效率），以及强大的自启动项检测；Symantec Process Viewer会hook住ntcreateprocess, ntcreateprocessxp, ntopenkey, ntterminateprocess四个SSDT服务函数，会监控开机到当前所有运行过的进程，能起到参考作用；TCPView可以实时查看创建连接和已经连接的端口和相应的进程；MD5计算工具；Mr.Google和百度。 具体方法： 第一部分看进程（模块，线程）。 最笨的木马都有自己的进程，还不隐藏，还起个大家都知道的名字。这个太简单了，简单google一下，用任务管理器都能发现。 有些木马本身是修改了或替换了的原有的正常的exe文件，或者系统文件，因此不要完全依赖于进程名字，MD5值还是有必要看下的；有些是隐藏进程的（Rootkit技术，比如Hook在WIN32API或者SSDT的ntquerysysteminfomation），所幸冰刃可以看得到大部分隐藏进程。除此之外，如果木马没有技术来修改文件修改时间， 有的木马唯恐别人不认识它，占用内存，CPU很高，向外发包，这些是更笨的木马，任务管理器以及TCPview(发包的)很容易确定进程。 高级的木马首先是隐藏自己做的很好的，这些木马只干该干的事情，并且最大程度上减少对系统的影响。我相信用户如果真的中了这个级别的木马，SAV又发现不了，用户就不会找我们，因为他自己也不知道。就怕SAV能发现它（毕竟SAV是自动的，特征码加行为检测），但是又不彻底。因为此类木马很多都会有个影子程序在监控，并恢复被删除的恶意程序。 影子程序怎么做？无非是恢复文件，恢复注册表，创建进程，动态注入dll或者线程。如果影子程序本身是一个进程，那我们的目的还是查出这个进程。分别用FileMon；RegMon；冰刃的监控进程创建；动态注入dll首先需要创建被删除的恶意dll文件，用FileMon；线程动态注入我还没找到一个直接根据这个线索找到可疑进程的方法（不清楚冰刃监控进程创建是否可行），不过也可以用稍微笨一点的方法比如枚举所有进程等方法；另外第二部分查看加载项也是可行的，因为影子程序本身也是需要启动的。由于影子程序本身基本上不做恶意行为，本身不包含恶意代码，而应子程序释放的木马文件在影子程序处肯定以加密后的资源形势存在，因此就很难被SAV自动查到了（除非其他用户提交了样本，SRC又加到病毒定义里面，不过把影子程序都加到病毒定义，那病毒定义文件得多大？），因此经常会发生SAV总是在相同的位置发现相同的病毒文件的情况了。 如果每个病毒都有自己独立的进程，查木马就是查找进程，那我们就太好做了，但是没有这个么好的事情。相当一部分的木马没有自己独立的进程，只是以模块（绝大多数情况下是dll文件，偶尔有ocx插件）形势注入到系统进程，比如iexplore.exe, explorer.exe, svchost.exe, winlogon.exe, smss.exe, csrss.exe等等。此时做可疑动作的进程就是这些系统进程了，找到这些进程病毒代表我们找到了木