經常上網而沒中過木馬的人,恐怕找不出多少。
我們怎麼判斷自己中了木馬呢?最簡單的是看系統
是否變滿了。如果表面現象不明顯,我們又怎麼判斷呢?檢測
進程,把木馬揪出來!
一、利用工具快速查木馬
1.用Procexp揪出簡單偽裝的木馬
Process Explorer是一款進程查看工具,與Windows任務
管理器相比其功能更顯強大,它不僅具備監視、暫停、終止進
程的功能,而且還可以查看到進程所調用的 DLL 文件,包括
隱藏進程和內核進程。如果木馬僅僅是簡單的偽裝了進程名,
我們從Process Explorer程序裡,可以輕鬆將它找出。
運行“Pr o c e xp客戶端”程序,在編輯區下方的窗口
所顯示的信息,則是選擇進程的詳細內容,我們可以通過
其提示得知進程主要調用哪些DLL文件。這裡展開普通進程
樹EXPLORER.EXE,從中找到自己認為可疑的程序,例如
svch0st.exe看似系統進程,竟然出現在了普通進程樹裡,因此
可以肯定它就是運行在系統裡的木馬進程。
小提示:有些木馬為了迷惑用戶,會將所運行的進程
名稱,更改成與其系統及為相近的進程名稱,因此如不仔細
觀察,很容易讓其木馬“矇混過關”。 一般容易被偽裝的系
統進程有svchost.exe、iexplore.exe、explorer .exe、winlogon.
exe、csrss.exe等名稱,其木馬會在進程名上做修改,比如將
裡面的字母o改成極為相似的數字0,字母l改成數字1等等。
2.利用智能殺毒伴侶分辨木馬進程
智能殺毒伴侶是一款病毒木馬清除工具,它可以幫助你
自動分辨進程與木馬的安全性,讓你不必費心就能輕鬆揪出系
統裡的木馬程序。運行智能殺毒伴侶客戶端,在彈出的軟件界
面內,選擇“進程管理”標籤,此時右側編輯區就會顯示出
當前系統所有運行的程序進程,並且智能殺毒伴侶已經自動為
進程作上了安全標記,其安全欄內有UN出現的標記,都被視
為可疑進程,對於這些進程請根據裡面的“描述”和“文件路
徑”信息,來判定木馬病毒即可。
小提示:剛才智能殺毒伴侶檢測出帶有UN標籤的huigezi.
exe程序,裡面沒有進程描述,也沒有文件路徑信息,雖然勉
強能判定是木馬,但是其木馬來歷不詳,以免錯殺了其他輔
助程序,因此這裡用右鍵點擊該進程,選擇“百度搜索”或者
“Google搜索”選項,來對不明進程進行查詢,從而可以得
知程序的真實身份。
二、檢查端口信息 揪出進程木馬
如果你對可疑進程還拿不準,還可以查看該進程使用的
端口,獲得更多證據。
1.檢測遠程IP是否為網站木馬
端口查看工具有很多,其功能也大同小異,這裡就以前
面介紹的Procexp工具為例,打開Procexp操作界面,選擇自己
認為可疑的進程後,單擊“右鍵”按鈕,在彈出的菜單裡選擇
Proper t ies選項,或者直接雙擊可疑進程,也可同樣達到打開
“進程屬性”對話框的目的。然後選擇TCP/IP選項,可以從中
看到程序訪問網絡的具體情況。如果可疑進程所連接的遠程IP
地址端口為80端口,眾所周知這是網站所開放的端口,如果
不是那可就有問題了,通過IE瀏覽器輸入IP地址進行查詢,結
果若出現無法打開網站的情況,便可判定它就木馬進程。
2.查詢遠程IP及其對應的物理地址
假如遠程主機連接的不是80端口,而是其他的數字端
口,你就需要知道它確切的實際情況,比如域名地址、實際IP
地址的方位等等。打開“CMD命令”窗口,輸入ping -a IP地
址命令,對其IP進行域名查詢後,得知其IP對應的域名情況。
然後進入IP地址查詢一類站點,將所得到的域名輸入,進行查
詢後可知域名對應的IP地址及物理地址。目前系統沒有跟美國
有關係的應用軟件,所以可以判定這是一個木馬進程,而遠程
連接的IP地址很可能是用來操控木馬的肉雞或者黑客的本機。
三、檢查注入類的木馬
可能大家都會碰到過這種情況,其進程本身沒有任何問
題,但總是莫名其妙地打開可疑端口,弄得系統總被人入侵。
想結束吧,害怕會影響到有關聯的正常文件,所以很矛盾。
其實我們可以根據進程調用的DLL文件,核對描述信息逐一檢
查,很容易揪出搗亂的“罪魁禍首”。
1.檢測DLL文件產品信息
通常情況下安全進程加載到模塊,都會有微軟的
Microsoft Corportaion信息提示,由此也可判斷它是否木馬。
運行Procexp程序,在工具欄上點擊View DLLs按鈕,然後就
可在下面窗口顯示出選中進程所調用的DLL文件。從中你可
逐一檢查每個DLL文件Company Name欄,是否都是Microsoft
Corportaion的標誌。如果遇到調用的文件信息為空或者其他公
司,那麼你就有必要懷疑它的安全性。
2.通過版本信息來辨真偽
可能根據以上產品信息,對DL L文件作判斷有點太武
斷,如果怕弄錯,你可以進一步分析。右鍵點擊該進程或者
DLL文件,在彈出的屬性對話框內,可以查詢對應文件的相關
信息。通常情況下,安全的文件都會有版本、公司、產品名稱
等信息,所以針對這種情況你可以查找一下,是否都具備以上
信息條件。在非特殊情況下,倘若缺少任何一個信息,那麼其
文件就很有可能是木馬。
3.微軟數字簽名及時間檢測
這裡不排除有些木馬對以上文件的相關信息做了偽裝,
所以對於這類極難分辨的木馬,我們可以通過觀看微軟數字籤
名,來識別文件的安全性。在Procexp列表,右擊可疑進程,
選擇Properties選項,在彈出的屬性對話框裡,點擊上方Image
標籤,在顯示的Image頁面內,可以看到其進程的描述信息。
其Ver i fy標籤會顯示出數字簽名的驗證信息,微軟程序會提示
(Verified) Microsoft Windows Publisher信息,如果不是的話,
進程信息中會顯示not Verified信息。但是對於DLL文件無法在
Procexp進行數字驗證。
因此這裡只能通過文件“創建時間”和“修改時間”來
作出判斷。首先要知道系統正常DLL文件創建的時間和修改時
間,然後在系統目錄下,找到與其不一樣的DLL文件時間,而
這個文件就可以確定是木馬DLL文件。
小提示:為了不讓細心的用戶發現木馬進程運行,有很
多木馬作者在配置木馬時,都會勾選上其木馬運行的隱藏功
能,這樣當木馬運行時不容易被發現其木馬進程。我們可以用
“冰刃”來查看隱藏進程,打開冰刃,編輯區所顯示的是當前
系統運行的所有程序進程,如果有隱藏進程,其名稱會以紅色
顏色標記上,而這類進程就有可能是為木馬進程。