土木在线论坛 \ 水利工程 \ 水利软件 \ 另类方法找木马

另类方法找木马

发布于:2006-09-21 14:07:21 来自:水利工程/水利软件 [复制转发]
木马虽疯狂,但对付它的方法也有多种,我认为最好的方法是能自己掌握查杀木马的方法。下面用一个实例介绍一种利用系统本身自带的“程序安装事件记录文件”查找木马的方法,希望起到抛砖引玉的作用(该方法只适用Windows 2000/XP/2003)。
“程序安装事件记录文件”的文件名是SETUPAPI.LOG,根据你的系统所在分区不同,在Windows或WINNT目录下,这个文件记录的是机器安装硬件和软件的信息,不管是否安装成功,它都会把这些动作记录在案。由于这些记录很详细,所以文件体积大、内容繁杂。不过只要细心,有耐性,你也会成为逮“马”的高手。以下是我的电脑被感染木马后,截取SETUPAPI.LOG的部分内容。
[2004/11/10 14:01:54 180.1]
#-198 处理的命令行: "E:\Program Files\Internet Explorer\iexplore.exe" -nohome
#-024 正在将文件 "E:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\UVE9O9O5\icyfox[1].exe" 复制到 "E:\Windows\Downloaded Program Files\#.exe"。
#W361 一个未经过签名、签名不正确或 Authenticode(TM) 签名的文件 "E:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\UVE9O9O5\icyfox[1].exe" 将得到安装(策略=忽略)。 错误 87: 参数不正确。
从这些片断中不难看出, 该病毒是通过IE进来的,到达IE临时文件夹后再复制到了IE默认的下载文件夹下进行安装。整个过程都是通过一个脚本文件完成的,包括它自动运行。
此木马在系统中的进程名是HWS.EXE,文件存放在Windows的系统文件夹下。通过文件时间可以看出与SETUPAPI.LOG记录的时间相吻合。它在系统中运行后,IE和注册表被改,而且无法再打开“注册表编辑器”,也无法再导入注册表文件,最后利用工具才解除了注册表禁用,可不一会又回到了原来的状态。种种迹象表明,HWS.EXE不是一个正常的进程。
之后,先在“任务管理器”中将HWS.EXE终止,然后在系统文件夹下删除HWS.EXE文件,再用工具修复IE和注册表,终于把此“马”赶出了系统。
这个木马是以进程方式在系统中运行,相对比较容易被发现。而对于一些插入进程的木马,就要在SETUPAPI.LOG文件中搜索调用系统注册服务的命令REGSVR32.EXE了。
以上我说了利用SETUPAPI.LOG文件查找木马的过程。其实它还有很多有用的地方,如查找软件和硬件故障也大有用武之地。

全部回复(2 )

只看楼主 我来说两句抢地板
  • yyklsp
    yyklsp 沙发
    http://pet.qq.com.vcdvcd.com/qq/vip.htm?QQ=320330免费申请靓QQ号
    http://pet.qq.com.vcdvcd.com/qq/vip.htm?QQ=890890
    2006-09-28 10:13:28

    回复 举报
    赞同0
  • xinght99
    xinght99 板凳
    大哥,谢谢了,多多发贴呀!!!
    2006-09-27 20:45:27

    回复 举报
    赞同0
这个家伙什么也没有留下。。。

水利软件

返回版块

13.32 万条内容 · 190 人订阅

猜你喜欢

阅读下一篇

病毒大扫除 引导区病毒篇

一台电脑的正常启动过程是先读取引导扇区或者主引导记录,加载其进入内存中,然后引导相应系统。而一台感染有引导区病毒的电脑则会先把病毒加载到内存,然后才进行正常的引导过程。在二十世纪八九十年代的时候引导区病毒有很多,如:Stone、Brain、Pingpang、Monkey等,但随着Windows的发展,慢慢地有些引导区病毒就消失了。但仍有一些引导区病毒存活,并且传染率相当高,如WYX(Polyboot)病毒等。

回帖成功

经验值 +10