找回密码
 注册
搜索
热搜: 超星 读书 找书
查看: 375|回复: 0

[【推荐】] 教你安全用电脑:识别进程中的隐藏木马

[复制链接]
发表于 2010-2-17 11:37:52 | 显示全部楼层 |阅读模式
任何病毒和木马存在于电脑系统中,都无法彻底和进程脱离关系,即使采用了隐藏技术,也还是能够从进程中找到蛛丝马迹,因此,查看系统中活动的进程成为我们检测病毒木马最直接的方法。但是系统中同时运行的进程那么多,哪些是正常的系统进程,哪些是木马的进程,而经常被病毒木马假冒的系统进程在系统中又扮演着什么角色呢?请看病毒进程隐藏三法,他就能告诉您。

  

  当我们确认系统中存在病毒,但是通过\"任务管理器\"查看系统中的进程时又找不出异样的进程,这说明病毒采用了一些隐藏措施,总结出来有三法:
  

发现隐藏的木马进程 直接手工删除病毒

  一.以假乱真

  系统中的正常进程有:svchost.exe、explorer.exe、iexplore.exe、winlogon.exe等,可能你发现过系统中存在这样的进程:svch0st.exe、explore.exe、iexplorer.exe、winlogin.exe。对比一下,发现区别了么?这是病毒经常使用的伎俩,目的就是迷惑用户的眼睛。通常它们会将系统中正常进程名的o改为0,l改为i,i改为j,然后成为自己的进程名,仅仅一字之差,意义却完全不同。又或者多一个字母或少一个字母,例如explorer.exe和iexplore.exe本来就容易搞混,再出现个iexplorer.exe就更加混乱了。如果用户不仔细,一般就忽略了,病毒的进程就逃过了一劫。

  常见系统进程解惑:

  进程文件:svchost 或 svchost.exe

  进程描述:svchost.exe是一个属于微软Windows操作系统的系统程序,微软官方对它的解释是:Svchost.exe 是从动态链接库 (DLL) 中运行的服务的通用主机进程名称。这个程序对你系统的正常运行是非常重要,而且是不能被结束的。因为svchost进程启动各种服务,所以病毒、木马也想尽办法来利用它,企图利用它的特性来迷惑用户,达到感染、入侵、破坏的目的(如冲击波变种病毒“w32.welchia.worm”)。但windows系统存在多个svchost进程是很正常的,但如果你的svchost.exe进程不是在C:\\windows\\system32\\这个目录下的话,那么就要当心了。

  进程文件:explorer 或 explorer.exe

  进程全称:Microsoft Windows Explorer

  中文名称:微软windows资源管理器

  进程描述:Windows 资源管理器,可以说是 Windows 图形界面外壳程序,它是一个有用的系统进程。注意它的正常路径是 C:\\Windows 目录,否则可能是 W32.Codered 或 W32.mydoom.b@mm 病毒。explorer.exe也有可能是w32.Codered和w32.mydoom.b@mm病毒。该病毒通过email邮件传播,当你打开病毒发送的附件时,即被感染。该病毒会在受害者机器上建立SMTP服务。该病毒允许攻击者访问你的计算机、窃取密码和个人数据。
进程文件:iexplore 或 iexplore.exe

  进程名称:Microsoft Internet Explorer

  进程描述:iexplore.exe是Microsoft Internet Explorer的主程序。这个微软Windows应用程序让你在网上冲浪,和访问本地Interanet网络。这不是纯粹的系统程序,但是如果终止它,可能会导致不可知的问题。iexplore.exe同时也是Avant网络浏览器的一部分,这是一个免费的基于Internet Explorer的浏览器。注意iexplore.exe也有可能是Trojan.KillAV.B病毒,该病毒会终止你的反病毒软件,和一些Windows系统工具。

  进程文件:winlogon 或 winlogon.exe

  进程名称:Microsoft Windows Logon Process

  进程描述:Windows Logon Process,Windows NT 用户登陆程序,管理用户登录和退出。该进程的正常路径应是 C:\\Windows\\System32 且是以 SYSTEM 用户运行,若不是以上路径且不以 SYSTEM 用户运行,则可能是 W32.Netsky.D@mm 蠕虫病毒,该病毒通过 EMail 邮件传播,当你打开病毒发送的附件时,即会被感染。该病毒会创建 SMTP 引擎在受害者的计算机上,群发邮件进行传播。



  二.偷梁换柱

  如果用户比较心细,那么上面这招就没用了,病毒会被就地正法。于是乎,病毒也学聪明了,懂得了偷梁换柱这一招。如果一个进程的名字为svchost.exe,和正常的系统进程名分毫不差。那么这个进程是不是就安全了呢?非也,其实它只是利用了\"任务管理器\"无法查看进程对应可执行文件这一缺陷。我们知道svchost.exe进程对应的可执行文件位于\"C:\\WINDOWS\\system32\"目录下(Windows2000则是C:\\WINNT\\system32目录),如果病毒将自身复制到\"C:\\WINDOWS\\\"中,并改名为svchost.exe,运行后,我们在\"任务管理器\"中看到的也是svchost.exe,和正常的系统进程无异。你能辨别出其中哪一个是病毒的进程吗?

  此时需要借助第三方软件来查看进程的所在目录,比较重要的系统进程,如:svchost.exe、winlogon.exe等,正常路径是 C:\\Windows\\System32,如果不是那么就要小心了。

  另外需要提醒大家注意的是,在选择用来查看进程或实现其它辅助功能的第三方软件时也要谨慎,不要随便安装一些不知名的小软件或系统插件,因为木马和病毒也往往会隐藏在其中。目前大部分的知名杀毒软件或与杀软配套的安全助手类工具,都具备基本的系统维护功能,如垃圾文件清理、进程管理、系统修复、启动项管理等。

  以瑞星卡卡安全助手为例,在进程管理功能中可以看到每个进程的对应命令行,安全助手已将所有进程进行了安全级别划分,智能识别出哪些是安全可靠的系统进程,哪些是无法判断的可疑进程和危险进程。


  
使用瑞星卡卡安全助手查看电脑进程

  这样一来,面对众多进程就不会感到无从下手了,我们可以跳过所有安全进程,主要关注那些未被识别的进程,判断与其对应的可执行文件是否为已知程序。


  三.借尸还魂

  除了上文中的两种方法外,病毒还有一招终极大法——借尸还魂。所谓的借尸还魂就是病毒采用了进程插入技术,将病毒运行所需的dll文件插入正常的系统进程中,表面上看无任何可疑情况,实质上系统进程已经被病毒控制了,除非我们借助专业的进程检测工具,否则要想发现隐藏在其中的病毒是很困难的。

  什么是进程插入技术?

  在Windows中,每个进程都有自己的私有内存地址空间,当使用指针(一种访问内存的机制)访问内存时,一个进程无法访问另一个进程的内存地址空间,比如QQ在内存中存放了一张图片的数据,而MSN则无法通过直接读取内存的方式来获得该图片的数据。这样做同时也保证了程序的稳定性,如果你的进程存在一个错误,改写了一个随机地址上的内存,这个错误不会影响另一个进程使用的内存。

  对于用户来说,独立的地址空间使操作系统将变得更加健壮,因为一个应用程序无法破坏另一个进程或操作系统的运行。但仍有很多种方法可以打破进程的界限,访问另一个进程的地址空间,那就是“进程插入”(Process Injection)。一旦木马的DLL插入了另一个进程的地址空间后,就可以对另一个进程为所欲为,比如盗QQ。

  普通情况下,一个应用程序所接收的键盘、鼠标操作,别的应用程序是无权“过问”的。可盗号木马是怎么偷偷记录下我的密码的呢?木马首先将1个DLL文件插入到QQ的进程中并成为QQ进程中的一个线程,这样该木马DLL就赫然成为了QQ的一部分!然后在用户输入密码时,因为此时木马DLL已经进入QQ进程内部,所以也就能够接收到用户传递给QQ的密码键入了!

  如何清除采用进程插入技术,隐藏了进程的DLL病毒

  最常见的是进程插入explorer.exe和winlogon.exe中,目前很多杀毒软件针对这种动态链接库的病毒查杀,效果都不理想,有时杀毒软件甚至会出现误判。

  插入explorer.exe中的DLL文件,大部分可以利用工具将DLL文件卸载,然后手工删除DLL病毒文件。

  而插入winlogon.exe中的DLL文件,少数可以利用卸载,然后手工删除DLL病毒文件,但大部分是不可以\"卸除\"的,

  对于上述两种不可以\"卸除\"的情况,需要在安全模式下,手工删除DLL病毒文件。

  另外,目前还有些病毒或木马程序有时还会感染U盘,在U盘产生Autorun.inf和相应的EXE文件。
http://it.21cn.com/software/bdjb/2009/07/07/6538615.shtml

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?注册

×
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

Archiver|手机版|小黑屋|网上读书园地

GMT+8, 2024-11-18 18:30 , Processed in 0.198656 second(s), 19 queries .

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表