现在的远程控制软件,大多都是驱动级的木马(比如大名鼎鼎的poshare),使用了Rootkit技术,可以隐藏进程、文件、端口等等,使用这种技术隐藏的木马是比较难查杀的。在这些隐藏中,最值得我们注意的是它隐藏的端口,如果木马的免杀程序特别厉害,一般的杀毒软件是根本无法扫描出来的。在这种情况下,我们通常是使用同级别的杀毒辅助工具(比如wsyscheck)来辅助查杀,在进程中可以看到插入DLL后异常的进程,图中显示为粉红色的svchost.exe,在下方的模块路径框中可以看出是被插入了zznreeee.dll。清除方法是在这个dll上点鼠标右键,然后选择卸载模块就可以了。
其实我们可以设置权限来防止驱动级的木马,这样可以让其失去驱动隐藏的功能,暴露自己的行踪,这样查看服务在显示木马的服务名称(当然,木马还是系统服务)以及端口时就比较容易发现了。我们来测试一下设置权限防范驱动器木马的效果,请出我们的演员(pcshare),先配置好一个服务端程序,运行一下,正常上线了。我们查看一下端口是否被隐藏,在运行栏输入cmd打开命令提示符,然后输入netstat -an,结果没有显示端口,端口连接远程地址(这是我肉鸡的地址)的8181端口,如果不是本地测试肉鸡的电脑是不应该出现在这样的连接情况的!至于隐藏服务的测试,主要是在知道木马DLL文件的前提下,设置权限然后通过对比,查看驱动级木马是否隐藏了服务,在这里我就不测试了(建议使用360选项中的系统服务状态来测试)!
接下来我们设置权限,木马在自动运行后会释放一个SYS文件到DRIVERS(一般位于C:\WINDOWS\system32\drivers)目录,所以我们只要设置写入权限,就可以让其失去隐藏端口的目的。我们需要设置权限的磁盘必须是NTFS文件系统,如果不是的话,我们可以在运行栏输入convert X:/fs:ntfs(其中X:就是说要转换的盘符,一般X都是系统盘)来将其转换成NTFS文件系统,一直输入Y,就可以了。
转换完成后我们再打开DRIVERS文件夹,在菜单上点击工具——文件夹选项,在弹出的窗口中选择查看,我们将使用简单文件共享(推荐)这一项前的勾号取消掉,然后点确定关闭窗口。
我们在需要设置权限的“drivers”文件夹上点右键,选择属性——安全,这个时候就可以看到设置权限的窗口了,我们在组或用户名称中选择“Users”组,并在下方的“写入”权限的“拒绝”一栏打上勾,这样就可以限制木马程序向这个文件夹内写入文件了。
如果有多个受限的账户,我们还可以点击上图中的添加,输入某个账户的名称来设置这个账户的权限策略,设置方法和上面的相同。当然我们也可以把SYSTEM32文件夹这么设置,那么我们的系统就更加安全了。我们现在再来看看端口的显示情况吧!我们先把电脑里的木马卸载掉,然后重新生成服务端进行,再看一下连接情况,再次使用360来查看端口,然后我们再来对比一下,是不是已经发现木马没有办法连接远程地址了。
访问www.leso99.com 分享更多精彩内容!
