黑客常用兵器之木馬篇（下）

　五 

　　“哈哈，你可知道除了冰河這樣的木馬經常使用的隱身技術外，更新、更隱蔽的方法已經出現，這就是―驅動程序及動態鏈接庫技術。驅動程序及動態鏈接庫技術和一般的木馬不同，它基本上擺脫了原有的木馬模式―監聽端口，而采用替代系統功能的方法改寫驅動程序或動態鏈接庫。這樣做的結果是：系統中沒有增加新的文件所以不能用掃描的方法查殺、不需要打開新的端口所以不能用端口監視的方法進行查殺、沒有新的進程所以使用進程查看的方法發現不了它，也不能用kill進程的方法終止它的運行。在正常運行時木馬幾乎沒有任何的癥狀，而一旦木馬的控制端向被控端發出特定的信息后，隱藏的程序就立即開始運作。此類木馬通過改寫vxd文件建立隱藏共享的木馬，甚是隱蔽，我們上面的那些方法根本不會對這類木馬起作用。 

　　“可是前輩說的這種木馬晚生并沒有見到啊。” 

笨蛋！你沒有見過，你怎么知道我老人家也沒有見過？告訴你我已經看到了一個更加巧妙的木馬，它就是Share。運行Share木馬之前，我先把注冊表以及所有硬盤上的文件數量、結構用一個監控軟件DiskState記錄了起來，這個監控軟件使用128bit MD5的技術來捕獲所有文件的狀態，系統中的任何文件的變動都逃不過他的監視，這個軟件均會將它們一一指出。” 

　　“前輩我這里第一次運行Share后，系統好像沒有動靜，使用Dllshow（內存進程察看軟件）觀看內存進程，似乎也沒有太大的變化。一般木馬都會馬上在內存駐留的，或許此木馬修改了硬盤上的文件。” 

　　“好，那么你就接著用DiskState比較運行share.exe前后的記錄。” 

　　“程序顯示windows\applog里面的目錄的一些文件和system.dat、user.dat文件起了變化，并沒有其他文件的增加和修改。” 

　　“系統中的applog目錄里面存放了所有應用程序函數和程序調用的情況，而system.dat和user.dat則是組冊表的組成文件。你把applog目錄里面的share.lgc打開來觀看，它的調用過程是什么？” 

　　“調用過程如下： 

　　c15625a0 92110 "C:\WINDOWS\SYSTEM\OLEAUT32.DLL" 
　　c1561d40 c1000 "C:\WINDOWS\SYSTEM\OLE32.DLL" 
　　c1553520 6000 "C:\WINDOWS\SYSTEM\INDICDLL.DLL" 
　　c15d4fd0 2623 "C:\WINDOWS\WIN.INI" 
　　c15645b0 8000 "C:\WINDOWS\SYSTEM\SVRAPI.DLL" 
　　c1554190 f000 "C:\WINDOWS\SYSTEM\MPR.DLL" 
　　c154d180 a1207 "C:\WINDOWS\SYSTEM\USER.EXE" 
　　c1555ef0 13000 "C:\WINDOWS\SYSTEM\MSNET32.DLL" 

　　但是為什么前輩我們看不到MSWINSCK.OCX或WSOCK2.VXD的調用呢？如果木馬想要進行網絡通訊，是會使用一些socket調用的。” 

　　“那么接著你再觀察注冊表的變化。” 
　　“好像在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Network\LanMan下面，多了幾個鍵值，分別是CJT_A$、CJT_C$、CJT_D$、CJT_E$、CJT_F$，其內部鍵值如下： 

　　"Flags"=dword:00000302 
　　"Type"=dword:00000000 
　　"Path"="A:\\" 《-----路徑是A到F 
　　"Parm2enc"=hex: 
　　"Parm1enc"=hex: 
　　"Remark"="黑客帝國" 
　　” 
　　“這就對了，然后你在瀏覽器的地址欄輸入\\111.111.111.1\CJT_C$。” 

　　“啊！居然把我的C盤目錄文件顯示出來了。” 
　　“現在你把CJT_C$改成matrix然后重啟計算機，接著在瀏覽器的地址欄輸入\\111.111.111.1\matrix。” 

　　“前輩也顯示C盤目錄文件了，很奇怪的是，在我的電腦里面硬盤看上去并沒有共享啊？” 
　　“哈哈，那你再把"Flags"=dword:00000302的302改成402，reboot計算機。” 

　　“嘻嘻，硬盤共享已顯示出來了。那么如何防止這種木馬那？” 
“哈哈哈哈，這種木馬只不過用了一個巧妙的方法隱藏起來而已。你現在把HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Network\LanMan下面的CJT_A$、CJT_C$、CJT_D$、CJT_E$、CJT_F$全部刪掉。如果你還放心不下，也可以把windows\system\下面的Vserver.vxd（Microsoft 網絡上的文件與打印機共享，虛擬設備驅動程序）刪掉，再把[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\下的VSERVER鍵值刪掉。這樣就可以了。另外，對于驅動程序/動態鏈接庫木馬，有一種方法可以試試，使用Windows的〖系統文件檢查器〗，通過〖開始菜單〗－〖程序〗－〖附件〗－〖系統工具〗－〖系統信息〗－〖工具〗可以運行〖系統文件檢查器〗，用〖系統文件檢查器〗可檢測操作系統文件的完整性，如果這些文件損壞，檢查器可以將其還原，檢查器還可以從安裝盤中解壓縮已壓縮的文件。如果你的驅動程序或動態鏈接庫在你沒有升級它們的情況下被改動了，就有可能是木馬，提取改動過的文件可以保證你的系統安全和穩定。” 

　　六 

　　“此外很多人中木馬都會采用如下手段： 

　　1．先跟你套近乎，冒充成漂亮的美眉或者其他的能讓你輕信的人，然后想方設法的騙你點他發給你的木馬。 

　　2．把木馬用工具和其它的軟件捆綁在一起，然后在對文件名字進行修改，然后修改圖標，利用這些虛假的偽裝欺騙麻痹大意的人。 

　　3．另外一種方法就是把木馬偽裝好后，放在軟件下載站中，著收漁翁之利。 

　　所以我這里提醒你一些常見的問題，首先是不要隨便從小的個人網站上下載軟件，要下也要到比較有名、比較有信譽的站點，通常這些網站的軟件比較安全。其次不要過于相信別人，不能隨便運行別人給的軟件。而且要經常檢查自己的系統文件、注冊表、端口等，而且多注意些安全方面的信息。再者就是改掉windows關于隱藏文件后綴名的默認設置，這樣可以讓我們看清楚文件真正的后綴名字。最后要提醒你的是，如果有一天你突然發現自己的計算機硬盤莫名其妙的工作，或者在沒有打開任何連接的情況下，貓還在眨眼睛，就立刻斷線，進行木馬的搜索。”