2024年8月12日发(作者:)
安全咖啡屋
Q—■L.f.】IIl粥●l硝— ■ 蕊 i_ T喜墓 L,=蛊I酬三台’巳q哥耵冀三7西
篱单 轻轻襁桧满狳姒
手,我们知道system32是个捉迷藏
的好地方,许多木马都削尖了脑袋
拳舄
互联网安全日新月异的发展,
越来越多的安全产品摆在人们眼
于有的进程调用的DLL文件非常
多,使得靠我们自己去一个核对变
前,安全厂商为了更好的保护用
户的网络安全而进行一次次的技
术革新。但是正所谓有光的地方
就有阴影,黑客们的技术也在不
断发展,为了在NT系统下能够继
续隐藏进程,木马的开发者们开
往那里钻,DLL马也不例外,针对
这一点我们可以在安装好系统和
必要的应用程序后,对该目录下的
EXE和DLL文件作一个记录:运
行CMD一转换目录到system32一
dir★.exe>exeback.txt&dir*.dll>d1l—
的不太现实。所以我们会用到一个
shotgun写的NT进程/内存模块查
看器ps.exe.用命令Ps.exe/a/1TI>
nowdlls.D(t将系统目前调用地所有
DLL文件地名称保存到nowdlls.
txt,然后我们再用fc将之于事先
始利用DLL(DynamicLinkLibrary动
态链接库)文件,起初他们只是将
自己的木马写成DLL形式来替换
back.txt,这样所有的EXE和DLL
文件的名称都被分别记录到exe一
back.乜(t和dllback.txt中,日后如发
备份dUback.七xt比较一下,这样也
能够缩小排查范围。
3、还记得木马的特征之一端
系统中负责WinSocket1.x的函数
调用wsock32.dU(WinSocket2中则由
WS2
_
现异常但用传统的方法查不出问
题时,则要考虑是不是系统中已经
潜入DLL木马了.这是我们用同样
的命令将system32下的EXE和
DLL文件记录到另外的exeback1.
txt和dllback1.txt中,然后运行
CMD—fcexeback.txtexeback1.txt>
口么?所有的木马只要进行连接,
只要它接受/发送数据则必然会打
开端口,DLL木马也不例外,这也
为我们发现他们提供了一条线索,
我们可以使用foundstone的进程端
口查看工具Fport.exe来查看与端
口对应的进程,这样可以将范围缩
32.DLL负责),这样通过对约
定函数的操作和对未知函数的转
发(DLL木马替换wsock32.d1l时会
将之更名,以便实现日后的函数
转发)来实现远程控制的功能。
但是随着MS数字签名技术
和文件恢复功能的出台,这种DLL
马的生命力也日渐衰弱了,于是
在开发者的努力下出现了时下的
主流木马一动态嵌入式DLL木
dif.txt&fcdUback.txtdUback1.臼(t>dif.
txt.(用FC命令比较前后两次的
DLL和EXE文件,并将结果输入
到dif.txt中),这样我们就能发现
一些多出来的DLL和EXE文件,
小到具体的进程,然后结合Proce一
dump来查找DLL木马就比较容易
了.当然有如上文提到的有些木马
会通过端口劫持或者端口重用的
方法来进行通信,139、80、1443、等
-
马,将DLL木马嵌入到正在运行
的系统进程中.explorer.exe、svchost.
然后通过查看创建时间、版本、是
否经过压缩等就能够比较容易地
常见端口则是木马的最爱。因为即
使即使用户使用端口扫描软件检
exe、srnss.exe等无法结束的系统关
键进程是DLL马的最爱,这样这
样在任务管理器里就不会出现我
判断出是不是已经被DLL木马光
顾了。没有是最好,如果有的话也
不要直接DLL掉,我们可以先把
查自己的端口。发现的也是类似
TCPUserIP:1026ControUerIP:80ES一
TABLISHED的情况,稍微疏忽一
们的DLL文件,而是我们DLL的
载体EXE文件.当然通过进一步
的加工DLL木马还可以实现另外
的一些如端口劫持/复用(也就是
所谓的无端口)、注册为系统服务、
开多线程保护、等功能。简而言
之,就是DLL木马达到了前所未
有的隐蔽程度。
它移到回收站里,若系统没有异常
反应再将之彻底删除或者提交给
杀毒软件公司。
2、上文也曾提到一些系统关
键进程是这类木马的最爱。所以一
旦我们怀疑系统已经进驻了DLL
木马,我们当然要对这些关键进程
重点照顾了,怎么照顾?这里推荐
点,您就会以为是自己在浏览网页
(防火墙也会这么认为的)。所以光
看端口还不够。我们要对端口通信
进行监控,这就是第四点要说的。
4、我们可以利用嗅探器来了
解打开的端口到底在传输些什么
数据。通过将网卡设为混杂模式就
可以接受所有的IP报文,嗅探程
那么我们如何来发现并清除
DLL木马呢?
1、从DLL木马的DLL文件入
一个强大的脱壳工具工具Proce一
dump.exe他可以帮您看出进程到
底调用了那些DLL文件,但是由
序可以从中选择值得关注的部分
进行分析,剩下的无非是按照
RFC文档对协议进行解码。这样
\
《计簟机与网络》2010年第18期
安全咖啡屋
、
计算机与网络创新生活霸雹礴啊 盈凰翻r3
提意垒照系缀蜜垒的 种方法
当前.很多企业面临的挑战是如何 2.监测活动 6.数据处理政策
找到安全与支出之间的平衡,当整个企 全年全天候对用户的行为进行检 实施严格的安全政策,包括数据是
业都在努力降低成本的时候,IT管理 测,对于单个管理员你,检测事件日志 如何处理的、如何访问和转移等。单靠
员要如何说服公司投资安全工具呢?人 并定期进行审计是一项艰巨的任务。但 技术本身是不足以保护公司数据的。强
为错误通常是企业存储环境面临的最 是,检测存储环境比检测整个网络要更 有力的可执行的安全政策,以及员工和
重要的安全错误,据了解2009年网络 加现实。日志被认为是很重要的资源, 管理层对安全问题的认知,将能够提高
犯罪和身份盗窃的不断增加,企业需要 因为如果安全泄漏发生的时候,日志可 企业内的存储安全水平。
更加警惕防御抵制因为人为因素而导 以用于随后展开的调查。曰志分析能够 7.简单的员工沟通
致的钓鱼攻击和社会工程攻击。 帮助管理员更好地了解资源使用的方 用简单明确的语言向员工解释每
企业不能忽视安全问题,即使预算 式并能够更好的管理资源。 一种政策的含义,和政策部署的方式。
紧张,安全泄漏、数据丢失和停机时间 3.访问控制8.员工教育
造成的总成本损失都远远超过企业需 对数据的访问权限只能授予那些 员工需要注意,不应该将自己的密
要花在保护数据和网络上的钱。如果企 需要访问数据的人。 码写在粘贴在监视器的记事贴上,他们
业安全成为经济危机时期的另一个受 4.维护信息 需要了解共享密码就像共享自己家里
害者,那么短期收益将可能造成长期损 保护所有企业信息。使用不受控制 的要是一样。需要告诉员工不能在未经
失。 的移动存储设备,如闪存驱动和DVD 认证的情况下,将任何信息透露给第三
可以通过部署安全最佳做法组合 等,让大量数据处于威胁之中,这些设 方,他们需要对安全和最常见的威胁
来实现安全性,而下面的1O个步骤可 备很容易丢失,并且很容易被盗窃。在 (如电子邮件钓鱼和社会工程)有基本的
以帮助企业在严峻经济环境下解决安 很多情况下,位于移动存储设备的数据 了解。另外,他们需要注意他们的行为
全威胁问题: 经常没有使用加密技术来保护。 正在被监视。
1.确定问题所在 5.需要知道和需要使用 9.备份所有的东西
对所有部署的安全措施和设备进 制定技术政策,根据明确的政策来 备份所有通信和数据,定期检查备
行广泛的审计一所有的硬件、软件和其 使用设备。最近的研究表明,当人们被 份以确保公司的网络崩溃的时候,能够
他设备,并审核授予企业内员工的所有 炒鱿鱼的时候,这些人泄漏数据的比率 在短时间内获取所有信息,你当然不希
特权和文件权限。积极测试存储环境的 不断增加。移动设备(如USB棒或者 望备份遭到破坏。
安全性并检查网络和存储安全控制的PDA)可以容纳大量数据,检测网络中 10.人员管理
日志,如防火墙、IDS和访问日志等,来 这些设备的使用是降低数据泄漏风险 存储安全比使用各种安全技术保
了解所有可能的安全事件,事件日志是 或者不满员工的恶意行为的关键因素。 护数据更加重要,这也是训练人事管理
很重要的安全信息资源,但是常常被忽 仅限于真正需要使用移动设备的人使 的机会。使用和创建数据的人是最大的
视。 用移动设备。 安全威胁和最薄弱的安全环节。
就可以确定木马使用的端口。 (例如autorun.inf)/config.sys等文件 务加载的是那个文件,然后用Re一
5、通常说道查杀木马我们会 就发现不了丝毫的异样.这时候我 sourceKits里提供的srvinstw.exe来移
习惯性地到注册表碰碰运气。以前 们就应该查看一下系统服务了:右 除该服务并清除被加载的文件。
可能还蛮有效的,但如果碰到注册 击我的电脑 管理一服务和应用 通过以上五步,基本能发现并
为系统服务的木马(原理:在NT/ 程序一服务,这时您会看到100多 清除狡猾的动态嵌入式DLL木马
2K/xp这些系统中,系统启动时会 个服务,,当然如果您以前曾经用 了,也许您也发现如果适当地做一
加载指定的服务程序)这时候检 导出列表功能对服务备份过,则用 些备份,会对我们的查找木马的过
查:启动组/注册表/autoexec.bat/ 文件比较的方法会很容易发现哪 程有很大的帮助.当然也会减轻不
win.ini/sysytem.ini/wininit.ini/★.inf 些是外来客,这时您可以记录下服 少工作的压力。
/
2010年第18期《计算机与网络》
发布评论