作者:mayuelei
学习技术不是仅仅看看视频教程就可以学习黑客相当长的时间,大家在利用木马的同时,也应当掌握一定查杀木马的知识。学习技了,我们还应该常常做笔记,记录下自己的心得,常常阅读关于这一方面的书籍,下面是我整理计算机安全杂志上的一些笔记,希望能给大家带来一些启示
木马的分类和查杀方式
1 传统的exe木马,这个大家应该相当熟悉了,视频教程上基本都是用exe木马做演示的。
2 Dll木马(现在的主流木马)关于dll
3 Sys木马,sys是系统驱动文件格式,此种木马采用驱动原理编程。
4 文件感染木马,你的小马修改系统文件或正常文件并进行伪装的木马。
5 内存木马,就是将自身映射到内存中运行,然后删除自身文件的木马,当然涉及到开机自启动的相关知识。
自动查杀
这是最省事的了,当然玩黑的朋友都十分清楚既然有的木马敢装到你的电脑上就是做了免杀的,肯定制作木马的人不会白白的把一个杀软查杀的木马传到网上去,所以查杀木马还是手工查杀的比较准确。 自动查杀工具:一系列杀软,360,木马克星.......
手动查杀
1 进程查杀 对exe木马有效。此种木马在任务管理器(ctrl+alt+del)中以单独进程出现往往和系统文件进程相类似所以加以仔细区分就可以了。当然需要有一点的前沿知识才可以。
2 现在的木马大多才用dll文件格式。针对dll木马需要加载到进程中进行中的特性,我们可以通过查看进程调用的模块列表来检测木马。但是进程加载的dll较多,从中找出异常的dll需要一定经验。首先查看公司名为空的dll,注意文件名比较陌生的dll,遇到可疑的dll可以通过百度等搜索引擎查看相关dll的信息。还可疑通过HASH值校验,与其他电脑的正常文件名进行对比。也可以通过360的文件知识库(http://f.360.cn/index.html)对比文件校验。
3 端口检测,对黑客有一定学习的人都知道这个吧。端口形象的将就是专用通道,每一个连接到外网的应用程序都需要自己的一个专用通道,那么我们通过检测端口的信息就可找出相应的程序,当发现有进程访问陌生的IP或者模式IP访问主机某个端口时,就可以对进程进行进一步分析了。
4 启动项检测 这里我们可以同过专用工具列举出注册表中可能被木马挂在自身的位置,分析其中的可疑文件。需要相关知识和基础,工具推荐autoruns
5 文件校验 将可疑文件和正常文件进行hash值对比 推荐hashtab
6 壳检测 加壳是一般木马的通用手段这样既可以压缩木马大小,又可以防止他人逆向分析也可以对杀软免疫。若发现可疑文件加壳再结合公司信息科判断是否为木马。windows系统文件通常不加壳。工具推荐:peid
7 逆向分析 8 嗅探抓包分析 这两个对于普通用户基本是没有多大用的,这不仅需要前沿知识和一定的基础而且相当浪费时间。