揭露进程伪装术
木马伪装技术的发展可谓日新月异,由进程隐藏到进程插入,使得在查杀方面越来越难以应付了。一般具有进程插入功能的木马会把自身注入其它应用程序的地址空间,而这个应用程序对于系统来说,是一个绝对安全的程序。
即使我们查找出了DLL插入进程,如果它是嵌入在系统基本进程中的,如“svchost.exe”等进程,我们是无法结束其运行的。
下面,将以实例演示一下线程插入类后门是如何在机器上运行的。我们以目前比较流行的“Devil4.exe”(魔鬼4号)程序为例。
运行“EditDevil4.exe”配置程序后,在显示界面中设置“配置文件”(即需要在目标上激活的可执行文件)、端口(可自定义,本例中为9000)、密码及插入进程(一般设置为系统基本进程,本例中为Explorer.exe)(图5)。配置完毕后,执行确认操作,使其生效。
图 5
一旦目标机器激活了配置好的程序,“Devil4.exe”将立即插入至指定进程中。我们可使用“fport v2.0”这款系统工具查看所有开放的TCP和UDP端口,并显示相应的应用程序(支持WinNT4/2000/XP)。运行“命令提示符”后,进入fport程序的存储路径,运行它。
大家注意查看其中的“Explorer.exe”进程,看到其TCP协议开放端口为适才笔者所定制9000端口,此时表明病毒进程插入成功(图6)。“Devil4.exe”后门本身具有删除程序,运行“DelDevil4.exe”程序后,就可清除驻留系统中的后门。
图 6
| 小提示:如果大家要封杀可疑端口,可以使用Active Ports及DBPort之类的第三方端口工具。这两款软件均是图形化界面,操作方法非常类似。不仅可自动刷新进程,还能够立即关闭指定端口。 |
- 推荐阅讯
- 微软开始酝酿XP SP4 明年年中将推出SP3
- 远程控制软件介绍
- XP完美克隆Mac OS
- 修改Windows XP系统设置技巧集之网络篇
- 微软推出简化版WinXP 可延长旧电脑服役期
- 英特尔版Mac可运行WinXP 黑客大赛夺冠
- 精简版XP无法安装U盾的解决方法
- 烦恼不在 修改错乱盘符的N种方法
- 解析远程桌面连接
- 如何在Windows XP系统中执行干净启动
- 阅读排行
- 1.XP自动登陆
- 2.五彩缤纷:45款超炫XP登陆界面随意换
- 3.解析Windows XP操作系统进程
- 4.Windows系统启动提速 教你四招轻松实现
- 5.XP用户:教你实用50招
- 6.Windows XP高清晰桌面壁纸欣赏下载
- 7.解析远程桌面连接
- 8.Windows XP中的远程桌面
- 9.windows xp 终极优化
- 10.提高运行性能:Win XP中硬盘的优化技巧
- 专题教程
- Windows Server-Windows Server文档-Windows Server新闻-Windows Ser PostgreSQL-PostgreSQL文档-PostgreSQL新闻-PostgreSQL专家
- WebLogic-WebLogic文档-WebLogic新闻-WebLogic专家 FreeBSD-FreeBSD文档-FreeBSD新闻-FreeBSD专家
- Linux-内核 GUI KDE Gnome DNS FTP 安全 安装-Linux专区 Windows-AD IIS ServerCore 虚拟化 安全 HPC-Windows专区
- 大话G游 专题:手机病毒揭密
- ARP攻击防范与解决方案 路由故障处理手册