7.此時(shí)我們把隱藏的以服務(wù)啟動(dòng)的木馬干掉了，你可以去停止服務(wù)，或者通過sc delete <servicesname>去刪除服務(wù)，這里就不多講了，因?yàn)榉?wù)啟動(dòng)的木馬已經(jīng)被干掉了，即使服務(wù)存在也無法找到啟動(dòng)程序了。我們這里將虛擬機(jī)重啟下，再查看下網(wǎng)絡(luò)連接是否還會(huì)與黑客建立TCP遠(yuǎn)程控制連接呢？

三、基于遠(yuǎn)控的通性反黑客遠(yuǎn)程控制法——兩個(gè)軟件判斷是否存在后門

1.這兩個(gè)工具分別是icesword（中文：冰刃）和SSM軟件。第一個(gè)軟件主要是應(yīng)對(duì)一些DLL進(jìn)程注入或者是存在Rootkit的木馬，所謂的Rootkit就是隱藏的意思，這樣的木馬有隱藏網(wǎng)絡(luò)連接狀態(tài)、隱藏進(jìn)程的功能。但是使用iceword查看就能查看到這種內(nèi)核級(jí)隱藏的木馬。例如下面就是GHOST木馬的DLL注入，它是通過DLL注入到svchost.exe進(jìn)程的，從icesword就可以找到可疑的dll模塊。如果有不懂可以查看我前面的技術(shù)文章《svchost.exe進(jìn)程分析》。

并且大家都說”Svchost.exe“如果與外界的IP連接就肯定是被控制了，這是有道理的。因?yàn)楝F(xiàn)在的遠(yuǎn)控比如ghost、白金遠(yuǎn)控就是會(huì)有這種現(xiàn)象就是DLL注入到“svhochst.exe“進(jìn)程進(jìn)行控制的，所以會(huì)有連接，一般來說“svchost.exe“除了在微軟更新的時(shí)候可能存在與美國IP的連接，但是其它時(shí)候都不會(huì)存在與外界進(jìn)行IP連接的。通過360的網(wǎng)絡(luò)連接就可以直接看的出來。

icesword里面的進(jìn)程都是黑色顯示的，如果出現(xiàn)有紅色的進(jìn)程，一般都是運(yùn)用了內(nèi)核級(jí)的rootkit技術(shù)的木馬。這樣的木馬通過任務(wù)管理器或者tasklist /svc 一般都是查看不到進(jìn)程的，但是用冰刃卻可以很快的查看到，如下圖所示：

2。icesword的軟件很強(qiáng)大這里就不多說了，上面已經(jīng)舉例說了。下面說下SSM工具的使用，首先我先在虛擬機(jī)里面安裝下這個(gè)軟件吧。并且開啟這個(gè)軟件，開啟這個(gè)軟件后只要我們運(yùn)行任何一個(gè)程序都會(huì)報(bào)警說明軟件執(zhí)行了什么動(dòng)作！這里我們將一個(gè)灰鴿子遠(yuǎn)控木馬拷貝進(jìn)到我們的虛擬機(jī)，當(dāng)我們點(diǎn)擊遠(yuǎn)控木馬的時(shí)候SSM馬上就報(bào)警了，提示程序啟動(dòng)，這個(gè)動(dòng)作是正常的，因?yàn)樵摮绦蛐枰猠xplorer圖形化程序進(jìn)程啟動(dòng)的。

3.當(dāng)我們運(yùn)行之后會(huì)發(fā)現(xiàn)，這時(shí)候程序突然來了一個(gè)注冊(cè)表修改的動(dòng)作，懂注冊(cè)表的都知道這個(gè)就是向HKLC\System\CurretcontrolSet\services里面寫入服務(wù)。這個(gè)就不太正常了，不是安裝什么程序，一個(gè)簡單的程序居然寫入服務(wù)，增加服務(wù)，可疑！

最新評(píng)論