7.此时我们把隐藏的以服务启动的木马干掉了,你可以去停止服务,或者通过sc delete <servicesname>去删除服务,这里就不多讲了,因为服务启动的木马已经被干掉了,即使服务存在也无法找到启动程序了。我们这里将虚拟机重启下,再查看下网络连接是否还会与黑客建立tcp远程控制连接呢?
三、基于远控的通性反黑客远程控制法——两个软件判断是否存在后门
1.这两个工具分别是icesword(中文:冰刃)和ssm软件。第一个软件主要是应对一些dll进程注入或者是存在rootkit的木马,所谓的rootkit就是隐藏的意思,这样的木马有隐藏网络连接状态、隐藏进程的功能。但是使用iceword查看就能查看到这种内核级隐藏的木马。例如下面就是ghost木马的dll注入,它是通过dll注入到svchost.exe进程的,从icesword就可以找到可疑的dll模块。如果有不懂可以查看我前面的技术文章《svchost.exe进程分析》。
并且大家都说”svchost.exe“如果与外界的ip连接就肯定是被控制了,这是有道理的。因为现在的远控比如ghost、白金远控就是会有这种现象就是dll注入到“svhochst.exe“进程进行控制的,所以会有连接,一般来说“svchost.exe“除了在微软更新的时候可能存在与美国ip的连接,但是其它时候都不会存在与外界进行ip连接的。通过360的网络连接就可以直接看的出来。
icesword里面的进程都是黑色显示的,如果出现有红色的进程,一般都是运用了内核级的rootkit技术的木马。这样的木马通过任务管理器或者tasklist /svc 一般都是查看不到进程的,但是用冰刃却可以很快的查看到,如下图所示:
2。icesword的软件很强大这里就不多说了,上面已经举例说了。下面说下ssm工具的使用,首先我先在虚拟机里面安装下这个软件吧。并且开启这个软件,开启这个软件后只要我们运行任何一个程序都会报警说明软件执行了什么动作!这里我们将一个灰鸽子远控木马拷贝进到我们的虚拟机,当我们点击远控木马的时候ssm马上就报警了,提示程序启动,这个动作是正常的,因为该程序需要explorer图形化程序进程启动的。
3.当我们运行之后会发现,这时候程序突然来了一个注册表修改的动作,懂注册表的都知道这个就是向hklc\system\curretcontrolset\services里面写入服务。这个就不太正常了,不是安装什么程序,一个简单的程序居然写入服务,增加服务,可疑!
如对本文有疑问, 点击进行留言回复!!
企业数据防泄密之举措:电脑文件加密软件还是电脑数据防泄密系统?
网站域名被劫持、网站dns被劫持 域名跳转到别的网站的解决方法
麦咖啡(mcafee) 冬虫草服务器系列 防止窜改用户账户的设置
我要评论
网友评论