返回
冰河浅析 - 揭开木马的神秘面纱(下)

冰河浅析 - 揭开木马的神秘面纱(下)

ID:6672451

大小:28.00 KB

页数:6页

时间:2018-01-21

冰河浅析 - 揭开木马的神秘面纱(下)_第1页
冰河浅析 - 揭开木马的神秘面纱(下)_第2页
冰河浅析 - 揭开木马的神秘面纱(下)_第3页
冰河浅析 - 揭开木马的神秘面纱(下)_第4页
冰河浅析 - 揭开木马的神秘面纱(下)_第5页
资源描述:

《冰河浅析 - 揭开木马的神秘面纱(下)》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、冰河浅析-揭开木马的神秘面纱(下)冰河浅析-揭开木马的神秘面纱(下)作者:·shotgun·yesky四、破解篇(魔高一尺、道高一丈)  本文主要是探讨木马的基本原理,木马的破解并非是本文的重点(也不是我的长处),具体的破解请大家期待yagami的《特洛伊木马看过来》(我都期待一年了,大家和我一起继续期待吧,嘿嘿),本文只是对通用的木马防御、卸载方法做一个小小的总结:  1.端口扫描  端口扫描是检查远程机器有无木马的最好办法,端口扫描的原理非常简单,扫描程序尝试连接某个端口,如果成功,则说明端口开放,如果失败或超过某个特定的时间(超时),则说明端口

2、关闭。(关于端口扫描,Oliver有一篇关于“半连接扫描”的文章,很精彩,那种扫描的原理不太一样,不过不在本文讨论的范围之中)  但是值得说明的是,对于驱动程序/动态链接木马,扫描端口是不起作用的。  2.查看连接  查看连接和端口扫描的原理基本相同,不过是在本地机上通过netstat-a(或某个第三方的程序)查看所有的TCP/UDP连接,查看连接要比端口扫描快,缺点同样是无法查出驱动程序/动态链接木马,而且仅仅能在本地使用。  3.检查注册表  上面在讨论木马的启动方式时已经提到,木马可以通过注册表启动(好像现在大部分的木马都是通过注册表启动的,至

3、少也把注册表作为一个自我保护的方式),那么,我们同样可以通过检查注册表来发现"马蹄印",冰河在注册表里留下的痕迹请参照《潜行篇》。  4.查找文件  查找木马特定的文件也是一个常用的方法(这个我知道,冰河的特征文件是G_Server.exe吧?笨蛋!哪会这么简单,冰河是狡猾狡猾的......)冰河的一个特征文件是kernl32.exe(靠,伪装成Windows的内核呀),另一个更隐蔽,是sysexlpr.exe(什么什么,不是超级解霸吗?)对!冰河之所以给这两个文件取这样的名字就是为了更好的伪装自己,只要删除了这两个文件,冰河就已经不起作用了。其他的

4、木马也是一样(废话,Server端程序都没了,还能干嘛?)  黄鑫:"咳咳,不是那么简单哦......"(狡猾地笑)  是的,如果你只是删除了sysexlpr.exe而没有做扫尾工作的话,可能会遇到一些麻烦-就是你的文本文件打不开了,因为前面说了,sysexplr.exe是和文本文件关联的,你还必须把文本文件跟notepad关联上,方法有三种:  a.更改注册表(我就不说了,有能力自己改的想来也不要我说,否则还是不要乱动的好)  b.在<我的电脑>-查看-文件夹选项-文件类型中编辑  c.按住SHIFT键的同时鼠标右击任何一个TXT文件,选择打开方式

5、,选中<始终用该程序打开......>,然后找到notepad,点一下就OK了。(这个最简单,推荐使用)  黄鑫:"我...我笑不起来了:("  提醒一下,对于木马这种狡猾的东西,一定要小心又小心,冰河是和txt文件关联的,txt打不开没什么大不了,如果木马是和exe文件关联而你贸然地删了它......你苦了!连regedit都不能运行了!  5.杀病毒软件  之所以把杀病毒软件放在最后是因为它实在没有太大的用,包括一些号称专杀木马的软件也同样是如此,不过对于过时的木马以及菜鸟安装的木马(没有配置服务端)还是有点用处的,值得一提的是最近新出来的ipa

6、rmor在这一方面可以称得上是比较领先的,它采用了监视动态链接库的技术,可以监视所有调用Winsock的程序,并可以动态杀除进程,是一个个人防御的好工具(虽然我对传说中“该软件可以查杀未来十年木马”的说法表示怀疑,嘿嘿,两年后的事都说不清,谁知道十年后木马会“进化”到什么程度?甚至十年后的操作系统是什么样的我都想象不出来)  另外,对于驱动程序/动态链接库木马,有一种方法可以试试,使用Windows的"系统文件检查器",通过"开始菜单"-"程序"-"附件"-"系统工具"-"系统信息"-"工具"可以运行"系统文件检查器"(这么详细,不会找不到吧?什么,

7、你找不到!吐血!找一张98安装盘补装一下吧),用“系统文件检查器”可检测操作系统文件的完整性,如果这些文件损坏,检查器可以将其还原,检查器还可以从安装盘中解压缩已压缩的文件(如驱动程序)。如果你的驱动程序或动态链接库在你没有升级它们的情况下被改动了,就有可能是木马(或者损坏了),提取改动过的文件可以保证你的系统安全和稳定。(注意,这个操作需要熟悉系统的操作者完成,由于安装某些程序可能会自动升级驱动程序或动态链接库,在这种情况下恢复"损坏的"文件可能会导致系统崩溃或程序不可用!)五、狡诈篇(只要你的一点点疏忽......)  只要你有一点点的疏忽,就有

8、可能被人安装了木马,知道一些给人种植木马的常见伎俩对于保证自己的安全不无裨益。1.网上“帮”人种植木马的伎俩

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。