返回
木马查杀深度剖析

木马查杀深度剖析

ID:22308920

大小:1.99 MB

页数:76页

时间:2018-10-28

木马查杀深度剖析_第1页
木马查杀深度剖析_第2页
木马查杀深度剖析_第3页
木马查杀深度剖析_第4页
木马查杀深度剖析_第5页
资源描述:

《木马查杀深度剖析》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、疱丁解马-木马查杀深度剖析之自启动项篇(六)(转)4、自启动项的隐藏、保护与查杀自启动项的隐藏与保护,跟进程的差不多,不外乎还是HOOK,系统提供给程序开发人员对注册表操作的功能函数常用的有如下几个:RegCreateKey、RegOpenKey用于打开创建注册键;RegDeleteKey、RegDeleteValue用于删除注册键及注册值;RegEnumKey、RegEnumValue用于枚举注册键及注册值;还有RegQueryValu来获取值。另外还有一套*Ex函数,其实功能都是一样的。而系统查看或删除注册

2、键与值时,也是用的上面的几个API。而上面的一些个API是用于应用层的,它们又会调用系统内核中的Nt*系统的功能服务来进行接下来的处理(*代表了Nt开头的那些与注册表相关的系统服务),而Nt*系统服务又调用了Cm*底层功能代码来进行操作,当然了,最终的操作都要实现在HIVE文件上面去。进程篇中的SSDT-HOOK、SSDT-INLINE—HOOK在注册表HOOK时是完全有效的,HOOK应用层的RegCreateKey、RegOpenKey或RegDeleteKey都可以实现注册键的防删除,而HOOKRegEnumK

3、ey就可以实现注册键的隐藏,这种HOOK可以对付系统与大多数应用层的安全工具的检查;而HOOKNtCreateKey等则同样可以实现隐藏与防删除且层次更深,而HOOKCm*系统注册表操作函数,则更加邪恶,且已经有这类程序出现。总之,在注册表操作的任何一个环节进行HOOK,都可以实现隐藏与防删除的目的。我们再来看看图03-33:在安装了著名的虚拟光驱程序DaemonTools后,此工具的驱动会禁止用户删除其注册项,SPTD.sys就是它的驱动。再看下图03-34:打开狙剑,选择“扩展功能”à“SSDT

4、检查”就可以看到sptd.sys对注册表相关函数的HOOK。有了进程篇的相关例子,这里就不再细说了,原理都是一样的,还有对Inline-HOOK的检测可以用“内核代码扫描”。内核代码扫描不仅能找到Inline-HOOKNt*系列函数木马,同样能找到Inline-HOOKCm*系列函数的木马。只不过HOOKCm*系统函数的木马层次更深一些而已。而如果直接用狙剑的自启动项管理对自启动项进行操作,则无须手动检查与恢复HOOK,狙剑在扫描与清除自启动项时,会自动恢复相关的HOOK(有些HOOK有防恢复机制,也很难用手工

5、来恢复,所以也就没必要非手工恢复它,交给工具去做就可以了)。注册表由于其特殊性,使得我们多了一个检查与清除木马自启动项的终极手段,那就是直接操作HIVE文件,当然了,HIVE文件的重要性使得系统对其保护很严密,这对直接操作HIVE文件造成了一定的麻烦,而风险性也进一步的提高。这使得当前绝大多数安全软件,对操作HIVE文件来查杀木马都望而却步,但其效果却无疑是目前最好的。我们先看看下图03-35:打开狙剑,选择“其它功能”à“注册表编辑器”就可以打开如上图所示的狙剑注册表编辑器,这个编辑器跟系统自带的那个

6、Regedit.exe最大的不同就是,狙剑注册表编辑器是直接操作的HIVE文件,而没有使用任何的Reg*、Nt*、Cm*等系统的注册表操作函数,这样,所有的注册表相关HOOK对这里的操作将完全没有任何效果。注意看上图的:HKEY_LOCAL_MACHINE"SYSTEM键,再与我们上面讲到的,复制System注册表文件后,用Regedit.exe的加载配置单元,加载后的内容是不是一样的?都缺少CurrentControlSet这一个子键。在左侧的列表中按右键,可以选择“仅显示自启动相关项”,这时与自启动无关的项

7、将被隐藏,方便使用注册表编辑器进行木马的查找。而如何使用注册表编辑器在HIVE级别上清除木马的自启动项呢?我们看下图03-36:仍然以我们上面用到的系统还原的驱动为例来说明,找到这个键:HKEY_LOCAL_MACHINE"SYSTEM"CurrentControlSet"Services"sr注意在右则,是这个驱动的注册内容,在上面按右键,可弹出操作菜单,里面提供了几个功能“清除项值”、“修改项值”、“修改项名”。l        清除项值:这个功能用于一般的自启动项,结果是会将“数据”那一栏

8、的内容清零。比比如我们可以将ImagePath一项的数据清零,那么对于一般的驱动来说这个操作就可以禁止驱动的加载了。l        修改项值:这个功能是修改“数据”那一栏的内容,这个用来做什么呢?呵,充分发挥想像,可以做很多事情。比如:将Start那一项的值改为4!为什么改为4呢?如果上面注册表基础知识那一章看得仔细就应该知

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。