抛弃杀软――赤手空拳再战病毒木马

  1 巧用进程识别病毒、木马      电脑启动后,在系统中只要运行一个程序,系统便会在后台加载相应的进程。简单地说,进程是操作系统当前运行的执行程序,因此一个软件可能只有一个进程,也有可能同时有两个以上的进程在执行。在系统当前运行的执行程序里包括:系统管理计算机个体和完成各种操作所必需的程序;还有用户开启、执行的额外程序,其中也包括用户不知道的、自动运行的非法程序等。   对于一些安全高手来说,查看系统进程有无异常,可以快速判断出系统是否存在安全隐患。那么如何通过进程来检测系统是否中了病毒木马呢?系统进程SVCHOST.EXE和Explorer.exe可以说是最容易被病毒木马利用的两个进程,下面通过这两个进程的检测方法来看看如何利用进程判别是否中了病毒木马。   1.藏毒元凶――SVCHOST.EXE   SVCHOST.EXE进程是最容易被冒充和利用的进程,可以说这个进程常常藏污纳垢,如何判断系统中的SVCHOST.EXE是正常进程还是病毒进程呢?同时按下“Ctrl+Shift+Del”组合键来打开Windows任务管理器,这里我们看到SVCHOST.EXE有好几个个,那么如何判断哪个进程是可疑的呢?系统中有多个SVCHOST.EXE进程,有可能是正常的,也有可能是病毒,不能根据SVCHOST.EXE进程的多少来判断是否为病毒。要判断到底有没有病毒,我们可以通过查看进程的发起程序来判断。(图1)   提示:我们首先可以通过鼠标右键选择“结束进程”来关闭进程,大家需要注意,结束其中一个进程后,你会发现马上又重生一个SVCHOST.EXE进程。此外,结束另一进程时还提示还有60秒后关机。对于关机的提示,可以在“运行”栏中输入“shutdown -a”,关机提示马上消失了。(图2)   要查看“Svchost.exe”进程的发起程序,可以在“命令提示符”窗口中,输入并执行“Netstat �abnov”命令,在接着反馈的信息中,就可以看到每个进程发起的程序或文件列表,这里你就可以根据相关知识判断是否为病毒和木马发起的程序。(图3)   正常的Svchost.exe文件是位于%systemroot%\System32目录中的,而假冒的Svchost.exe病毒或木马文件则会在其他目录,例如冲击波变种病毒“w32.welchina.worm”病毒假冒的Svchost.exe就隐藏在Windows\System32\Wins目录中。据此,我们就可以判断该进程到底是不是木马进程了。   为了判别进程是否正常,可以在安装完Windows后,点击“开始→程序→附件→系统工具→系统信息”,在打开的“系统信息”窗口中再点击“软件环境→正在运行任务”,如图所示的“系统信息”窗口。接下来,点击“操作→另存成文本文件”,这样,以后系统出现异常时则对照进行分析,就可以从中发现潜藏的木马和病毒。(图4)      小知识   Svchost.exe是NT核心系统的非常重要的进程,对于2000、XP来说,不可或缺。因此,很多病毒、木马也会调用它。在基于NT内核的Windows操作系统中,不同版本的Windows系统,存在不同数量的“Svchost”进程,用户使用“任务管理器”可查看其进程数目。一般来说,Win 2000有两个Svchost进程,Win XP中则有四个或四个以上的Svchost进程,而Win 2003 server中则更多。这些Svchost进程提供很多系统服务,如:rpCSS服务(remote procedure call)、dmserver服务(logical disk manager)、dhcp服务(dhcp clieNT)等。      除了上面的方法外,我们还可以在命令行窗口输入“Tasklist /svc”(我们这里是以Windows XP为例,在Windows 2000的命令提示符窗口中,则输入“tlist -s”命令来查看),如果看到哪个Svchost.exe进程后面提示的服务信息是“暂缺”,而不是一个具体的服务名,那么它就是病毒进程了,记下这个病毒进程对应的PID数值(进程标识符),即可在任务管理器的进程列表中找到它,结束进程后,在C盘搜索到伪装为Svchost.exe进程的文件,也可以用第三方进程工具直接查看该进程的路径,然后将其删除,并彻底清除病毒的其他数据即可。(图5)      提示   这种利用假冒Svchost.exe名称的病毒程序,并没有直接利用真正的Svchost.exe进程,而是启动了另外一个名称同样是Svchost.exe的病毒进程,由于这个假冒的病毒进程并没有加载系统服务,它和真正的Svchost.exe进程是完全不同的。      2.易被伪装的Explorer.exe   打开的电脑的任务管理器,可以看到这个进程,占用内存还不小,大约10MB左右。结束这个进程后,打开的几个窗口都关闭了,而且桌面上的图标也全没有了。之所以出现这个情况,正是Explorer.exe在发挥作用。可以通过下面的操作恢复桌面到正常状态:在“任务管理器”中,依次单击“文件”→“新建任务(运行….)”菜单。在在打开的窗口中输入“Explorer.exe”进程名单击“确定”按钮即可完成重建进程的过程了,桌面环境也就恢复了。那么,Explorer.exe进程是如何被伪装的呢?(图6)      小知识   简单地说,Explorer.exe进程就是操作系统的程序管理器,也就是我们平时说的资源管理器,用于管理操作系统的图形界面,包括开始菜单、任务栏,桌面和文件管理。该进程随系统一起启动,直到系统关闭或者人为结束该进程。      通常病毒会利用障眼法来干扰大家,正常的进程名是Explorer.exe,而一些病毒的进程名则为Exp1orer.exe(用数字1代替了字母l),还有的病毒进程名为Expl0rer.exe(用数字0代替字母o),不仔细看,根本就区分不出来,实在令人防不胜防。大名鼎鼎的MyDoom病毒就是通过Explorer.exe来进行破坏的。MyDoom是一种通过电子邮件附件和P2P网络传播的病毒,当用户打开并运行附件内的病毒程序后,病毒就会以用户信箱内的电子邮件地址为目标,伪造邮件的源地址,向外发送大量带有病毒附件的电子邮件,同时在用户主机上生成Explorer.exe进程。   针对这类情况,除了我们留意进程名字外,还可以根据Explorer.exe进程的路径来判断,正常的Explorer.exe进程位于系统根目录下(比如系统盘为C盘,则路径为C:\Windows\Explorer.exe),这里我们可以借助一些进程辅助软件来进行查看,比如“360安全卫士”,这里可以看到正在运行的进程的路径以及用户名等。如果发现Explorer.exe的运行路径不在这个目录,说明肯定被其他病毒冒充。当然,如果进程名不对,肯定也是有问题的。(图7)   在系统的system.ini文件中(C:\Windows\system.ini),在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”,如果不是“explorer.exe”,而是“shell= explorer.exe 程序名”,那么后面跟着的那个程序就是“木马”程序,这表明你已经中“木马”了。

本文为全文原貌 未安装PDF浏览器用户请先下载安装 原版全文

  此外,在注册表中的情况比较复杂,通过regedit命令打开注册表编辑器,依次打开HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”目录下,查看键值中有没有自己不熟悉的自动启动文件,扩展名为EXE。注意有的“木马”程序生成的文件很像系统自身文件,想通过伪装蒙混过关,如“Acid Battery木马”,它将注册表“HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下的 Explorer 键值改为Explorer=“C:\WINDOWS\expiorer.exe”,“木马”程序与真正的Explorer之间只有“i”与“l”的差别,这需要大家高度警惕。   病毒除了通过文件名相似来伪装explorer.exe进程外,主要是通过线程插入技术来利用这个进程。比如曾经的广外幽灵、最新的魔波病毒变种也是利用这个进程。线程插入技术使得这些病毒木马可以将他们的服务端程序插入到正常的explorer.exe进程中,从而让用户找不到病毒的蛛丝马迹。对于这类采用线程插入的木马病毒,我们可以借助“木马辅助查找器”来进行查看,在“进程监控”选项中,勾选explorer.exe进程,在下面的DLL文件窗口中将显示相应的DLL文件的路径和文件名,发现可疑的文件,则直接终止相应的进程即可。当然,这需要大家对一些常见的木马有基本的了解,否则操作起来就显得比较难。(图8)   提示:关于进程的知识,大家可以到超级兔子的官方网站去查看(l),这里对进程进行了分类,包括常见的木马病毒、常见的合法进程、存在安全风险的进程等,掌握了进程相关的知识,对于判断进程是否有危害有非常重要的作用。只有知道哪些进程是正常的,才可能找到可疑的进程,从而尽早结束进程来阻止恶意程序的运行。(图9)      2 端口安全设置与防范      端口分物理物理意义上的端口和逻辑意义上的端口,物理意义上的端口是指硬件接口,比如ADSL Modem、路由器等的接口,而逻辑意义上的端口是‘虚’的,比如用于浏览网页的80端口,用于FTP服务的21端口等,而一些木马也会针对特定的端口进行攻击,因此,掌握端口知识是非常必要的。每台电脑要与外界网络每建立一个网络连接时,都必须打开电脑中的某个端口。端口就像是电脑与外界网络连接的一扇门,因此,在某种意义上说,端口就掌控着网络连接的生杀大权。   1.查看当前开放的端口   在Windows 2000/XP/Server 2003中要查看端口,可以使用Netstat命令来查看端口情况:   依次点击“开始→运行”,键入“cmd”并回车,打开命令提示符窗口。在命令提示符状态下键入“netstat -a -n”,按下回车键后就可以看到以数字形式显示的TCP和UDP连接的端口号及状态。(图10)   上图中各部分的含义是:“Active Connections”是指当前本机活动连接,“Proto”是指连接使用的协议名称,“Local Address”是本地计算机的IP地址和连接正在使用的端口号,“Foreign Address”是连接该端口的远程计算机的IP地址和端口号,State则是表明TCP连接的状态,你可以看到后面的监听端口是UDP协议的,所以没有State表示的状态。本地IP地址后的就是开放的端口号,如果你的机器的7626端口已经开放,正在监听等待连接(LISTENING),那么,这种情况极有可能是已经感染了冰河!因此,必须马上断开网络,用杀毒软件查杀病毒。      小知识   Netstat命令用法   -a 表示显示所有活动的TCP连接以及计算机监听的TCP和UDP端口。   -e 表示显示以太网发送和接收的字节数、数据包数等。   -n 表示只以数字形式显示所有活动的TCP连接的地址和端口号。   -o 表示显示活动的TCP连接并包括每个连接的进程ID(PID)。   -s 表示按协议显示各种连接的统计信息,包括端口号。      2.关闭不安全的端口   默认的情况下,有很多端口不安全,或者一些没有用的端口也处于开启状态,比如Telnet服务的23端口、FTP服务的21端口、SMTP服务的25端口、RPC服务的135端口等等。为了保证系统的安全性,我们可以通过下面的方法来关闭/开启端口。比如在Windows XP中关闭RPC服务的135端口,可以按照下面的方法来操作:   首先打开“控制面板”,双击“管理工具”,再双击“服务”。接着在打开的服务窗口中找到并双击“Remote Procedure Call (RPC)”服务,单击“停止”按钮来停止该服务,然后在“启动类型”中选择“已禁用”,最后单击“确定”按钮即可。这样,关闭了RPC服务就相当于关闭了对应的端口。(图11)   如果要开启该端口,只要先在“启动类型”选择“自动”,单击“确定”按钮,再打开该服务,在“服务状态”中单击“启动”按钮即可启用该端口,最后,单击“确定”按钮即可。   3.重定向本机默认端口增强安全   查看你电脑的端口情况,你会发现默认情况下Windows有很多端口是开放的,主要有:TCP139、445、593、1025 端口和UDP123、137、138、445、1900等端口,还有远程服务访问端口3389。但本机中的某些默认端口是不能关闭的,这时该怎么办呢?我们可以将这样的端口“重定向”,把该端口重定向到另一个地址,这样即可隐藏公认的默认端口,降低受破坏的机率,从而保护系统安全。下面以一个实例来说明。   例如你的电脑上开放了远程终端服务(Terminal Server)端口(默认是3389),可以将它重定向到另一个端口上(例如1235,这里端口号随意选择,只要不是公认的端口号,没有固定分配给某个服务即可,目的就是让所谓‘黑客’不容易识别出来),具体操作方法如下:   (1)在本机上(服务器端)修改   打开注册表,依次展开到下列两个注册表项:   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp]   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]   然后将其中的 PortNumber,全部改成自定义的端口(例如1235)即可。(图12)   提示:这里的数值数据默认是以十六进制显示的,所以你看到的可能不是3389,需要进行转换。你也可以勾选“十进制”选项,就能直接显示十进制数值了。   (2)在客户端上修改   服务器端端口修改后,为了保证远程客户端计算机能够正常访问这台服务器(也就是你的这台电脑),必须也对客户端进行修改,才能实现正常连接。这好比两个人约会,临时更改了见面地点,因此必须通知对方。具体操作如下:   依次单击“开始→所有程序→附件→通讯→远程桌面连接”,打开“远程桌面连接”窗口,单击“选项”按钮扩展窗口,填写完相关参数后,单击“常规”下的“另存为”按钮,将该连接参数导出为.rdp文件。用记事本打开该文件,在文件最后添加一行:server port:i:1235 (这里填写你服务器自定义的端口)。以后,只要直接双击这个.rdp 文件即可连接到服务器的这个自定义端口了。(图13)

本文为全文原貌 未安装PDF浏览器用户请先下载安装 原版全文

     3 巧用数字签名揪出可疑文件      除了进程和端口方面的安全防护外,可能很少有用户关注操作系统的数字签名功能。简单地说,数字签名是微软为系统文件添加的一组电子密码,可以保护系统文件的完整性,如果某文件没有有效的数字签名,那么将无法证明文件的来源真实可靠,因而这个文件就很有可能是有问题的,换句话说,这个文件就很可能是被病毒木马篡改过的。   1.查看文件的“数字签名”   首先来看看微软数字签名保护的系统文件,打开“C:\WINDOWS\system32”目录,这里经常是一些病毒木马的藏身之地,而最容易被病毒木马利用的就是EXE文件和DLL文件。随便找到一个文件,鼠标右击该文件,从弹出的菜单中选择“属性”,在打开的窗口中,点击“版本”选项卡,这里我们可以看到文件的产品版本、公司、内部名称等信息,其中“公司”中可以看到“Microsoft Corporation”,这表明来自微软公司。如果此处的“公司”信息显示是其它公司,那么必须弄清楚这个文件的来源,如果不能确认来源,那么就值得怀疑了。(图14)   有的文件甚至没有“版本”这个选项,那么这个文件就很有可能是病毒木马或者流氓软件了。当然,我们还不能草率下结论认定这个文件是病毒木马,我们可以借助专业的病毒木马查杀工具,并结合文件的修改时间等多方面来进行判别。(图15)   “C:\WINDOWS\system32”目录下的系统文件众多,我们不可能逐一打开进行查看,怎么办呢?其实可以借助一款小工具来解决,这就是“数字签名检测工具”,使用该软件可以对微软数字签名进行快速检查,从而验证系统文件的可信性。具体操作如下:   运行软件,设置好扫描目录,可以选定“C:\WINDOWS\system32”目录,为了检测彻底这里勾选上“包括子文件夹”选项,然后点击“开始检测”按钮即可开始自动扫描文件的数字签名信息。扫描完毕后,为了方便查看,建议勾选“仅显示没有数字签名的文件”,我们看到没有数字签名的文件比较多,大家可以重点查看EXE文件和DLL文件,从而判别没有数字签名的文件是否为病毒。(图16)   2.结合时间找到可疑的病毒文件   通过数字签名检测工具,可以看到没有数字签名的文件非常多,因为有些正常的文件也可能没有数字签名,那么如何从众多的文件中找出可疑的病毒木马文件呢?我们可以结合系统时间来分析,也就是说,在某个时间段你的机器不正常、运行缓慢或者频频弹出广告等,那么就重点查看这个时间段的没有数字签名的系统文件。   打开系统自带搜索工具,在搜索文件名中输入“*.exe;*.dll”,因为病毒木马往往是EXE和DLL文件类型,在搜索范围中设定系统目录,在“什么时候修改的”一项中勾选“指定日期”,然后设置好时间范围,最后在高级选项中勾选“搜索系统文件夹”、“搜索隐藏的文件和文件夹”,最后点击搜索即可。(图17)   从搜索结果来看,这个时间段修改的EXE和DLL文件比较多,这时,我们可以再结合“数字签名检测工具”来判别。具体操作是:将搜索结果中的所有文件复制到一个新的文件夹,然后再用数字签名检测工具来进行检测,没有数字签名的,基本上可以认定是木马病毒了。理由很简单,这个文件没有合法的数字签名,而这个文件出现后,就导致你的系统出现中毒、弹广告窗口等症状,因此这个文件就很可能是罪魁祸首。大家可以再用杀毒软件来进行查杀,从而确保不会误杀这个文件。      4 轻松修复系统漏洞      我们可以利用前面介绍的几种方法来查找系统中的各种可疑文件,从而找出被病毒、木马破坏的文件。那么除了这种“事后修补”的方式外,还有什么简单有效的方法来对付病毒木马呢?其实,为系统打补丁就是一种非常必要也非常见效的一种“事前防范”方法。一方面我们可以开启Windows自动更新服务,另一方面,我们完全可以借助大家聊天常用的QQ软件来检测并修复漏洞。   开启系统自动更新的方法是:依次打开“开始→控制面板→Windows安全中心→自动更新”,在打开的窗口中,勾选“自动”,表示允许自动更新,最后点击“确定”即可。(图18)   利用QQ查杀木马、修复漏洞的方法则是:运行QQ后,依次打开QQ主面板上的“菜单→安全中心→在线查杀木马”,在打开的页面中,点击“开始”按钮,在接下来打开的页面中,首先会提示用户安装安全控件,然后点击“开始检查”即可进行木马查杀和漏洞扫描。(图19)   检测到系统漏洞后,勾选相应的漏洞,点击“修复”按钮即可修复系统漏洞,操作起来比较简单。(图20)      结语   本专题为大家介绍了不使用杀毒软件的情况下,如何确保电脑的安全运行,说到底,是充分挖掘了系统本身的潜能。当然,这需要大家对电脑有较为深入的认识,把握住系统细微的变化,从而快速诊断是否被病毒木马破坏。需要提醒大家的是,虽然这里所讲是手工与病毒木马过招,但杀毒软件仍然不可少,只有二者配合使用,方能打造系统安全的铜墙铁壁!      注:“本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文。”

本文为全文原貌 未安装PDF浏览器用户请先下载安装 原版全文


© 2024 实用范文网 | 联系我们: webmaster# 6400.net.cn