动态嵌入式DLL***发现与清除方法
[url]www.hacker.com.cn[/url] ***防线

随着MS的操作系统从Win98过渡到Winnt系统(包括2k/xp),MS的任务管理器也一下子脱胎换骨,变得火眼金睛起来(在WINNT下传统***再也无法隐藏自己的进程),这使得以前在win98下靠将进程注册为系统服务就能够从任务管理器中隐形的***面临前所未有的危机,所以***的开发者及时调整了开发思路,所以才会有今天这篇讨论如何清除动态嵌入式DLL***的文章。
  首先,我们来了解一下什么是动态嵌入式***,为了在NT系统下能够继续隐藏进程,***的开发者们开始利用DLL(Dynamic Link Library动态链接库)文件,起初他们只是将自己的***写成DLL形式来替换系统中负责Win Socket1.x的函数调用wsock32.dll(Win Socket2中则由WS2_32.DLL负责),这样通过对约定函数的操作和对未知函数的转发(DLL***替换wsock32.dll时会将之更名,以便实现日后的函数转发)来实现远程控制的功能。
但是随着MS数字签名技术和文件恢复功能的出台,这种DLL马的生命力也日渐衰弱了,于是在开发者的努力下出现了时下的主流***--动态嵌入式DLL***,将DLL***嵌入到正在运行的系统进程中.explorer.exe、svchost.exe、smss.exe等无法结束的系统关键进程是DLL马的最爱,这样这样在任务管理器里就不会出现我们的DLL文件,而是我们DLL的载体EXE文件.
当然通过进一步的加工DLL***还可以实现另外的一些如端口劫持/复用(也就是所谓的无端口)、注册为系统服务、开多线程保护、等功能。简而言之,就是DLL***达到了前所未有的隐蔽程度。
  那么我们如何来发现并清除DLL***呢?
  一,从DLL***的DLL文件入手,我们知道system32是个捉迷藏的好地方,许多***都削尖了脑袋往那里钻,DLL马也不例外,针对这一点我们可以在安装好系统和必要的应用程序后,对该目录下的EXE和DLL文件作一个记录:
运行CMD--转换目录到system32--dir *.exe>exeback.txt& dir *.dll>dllback.txt,这样所有的EXE和DLL文件的名称都被分别记录到exeback.txt和dllback.txt中,日后如发现异常但用传统的方法查不出问题时,则要考虑是不是系统中已经潜入DLL***了.
这是我们用同样的命令将system32下的EXE和DLL文件记录到另外的exeback1.txt和dllback1.txt中,然后运行CMD--fc exeback.txt exeback1.txt>diff.txt & fc dllback.txt dllback1.txt>diff.txt.(用FC命令比较前后两次的DLL和EXE文件,并将结果输入到diff.txt中),这样我们就能发现一些多出来的DLL和EXE文件,然后通过查看创建时间、版本、是否经过压缩等就能够比较容易地判断出是不是已经被DLL***光顾了。
没有是最好,如果有的话也不要直接DLL掉,我们可以先把它移到回收站里,若系统没有异常反应再将之彻底删除或者提交给杀毒软件公司。
  二、上文也曾提到一些系统关键进程是这类***的最爱,所以一旦我们怀疑系统已经进驻了DLL***,我们当然要对这些关键进程重点照顾了,怎么照顾?这里推荐一个强大的脱壳工具工具Procedump.exe他可以帮您看出进程到底调用了那些DLL文件(如图1)但是由于有的进程调用的DLL文件非常多,使得靠我们自己去一个核对变的不太现实,
所以我们会用到一个shotgun写的NT进程/内存模块查看器ps.exe,用命令ps.exe /a /m >nowdlls.txt将系统目前调用地所有DLL文件地名称保存到nowdlls.txt,然后我们再用fc将之于事先备份dllback.txt比较一下,这样也能够缩小排查范围。
三、还记得***的特征之一端口么?所有的***只要进行连接,只要它接受/发送数据则必然会打开端口,DLL***也不例外,这也为我们发现他们提供了一条线索,我们可以使用foundstone的进程端口查看工具Fport.exe来查看与端口对应的进程,这样可以将范围缩小到具体的进程,然后结合Procedump来查找DLL***就比较容易了
.当然有如上文提到的有些***会通过端口劫持或者端口重用的方法来进行通信,139、80、1443、等常见端口则是***的最爱。因为即使即使用户使用端口扫描软件检查自己的端口,发现的也是类似TCP UserIP:1026 ControllerIP:80ESTABLISHED 的情况,稍微疏忽一点,您就会以为是自己在浏览网页(防火墙也会这么认为的)。所以光看端口还不够,我们要对端口通信进行监控,这就是第四点要说的。
  四、我们可以利用嗅探器来了解打开的端口到底在传输些什么数据。通过将网卡设为混杂模式就可以接受所有的IP报文,嗅探程序可以从中选择值得关注的部分进行分析,剩下的无非是按照RFC文档对协议进行解码。这样就可以确定***使用的端口,结合Fport和Procedump我们就能够查找到该DLL***了。至于嗅探器个人推荐使用IRIS,图形界面比较容易上手。
  五、通常说道查杀***我们会习惯性地到注册表碰碰运气,以前可能还蛮有效的,但如果碰到注册为系统服务的***(原理:在NT/2K/XP这些系统中,系统启动时会加载指定的服务程序)这时候检查:
启动组/注册表/autoexec.bat/win.ini/sysytem.ini/wininit.ini/*.inf(例如autorun.inf)/config.sys等文件就发现不了丝毫的异样,这时候我们就应该查看一下系统服务了:右击我的电脑--管理--服务和应用程序--服务,这时您会看到100多个服务,(MS也真是的,其中75%对个人用户无用,可以禁止。),慢慢找吧,看谁不顺眼就把它拎出来:),
当然如果您以前曾经用导出列表功能对服务备份过,则用文件比较的方法会很容易发现哪些是外来客,这时您可以记录下服务加载的是那个文件,然后用Resource Kits里提供的srvinstw.exe来移除该服务并清除被加载的文件。
  通过以上五步,基本能发现并清除狡猾的动态嵌入式DLL***了,也许您也发现如果适当地做一些备份,会对我们的查找***的过程有很大的帮助,当然也会减轻不少工作的压力哦。

0

收藏

simeon2005

1764篇文章,689W+人气,920粉丝