没有合适的资源?快使用搜索试试~ 我知道了~
首页(完整)疱丁解马教程-木马查杀深度剖析
(完整)疱丁解马教程-木马查杀深度剖析
需积分: 10 12 下载量 175 浏览量
更新于2023-03-03
评论
收藏 2.64MB PDF 举报
一. 疱丁解马-木马查杀深度剖析之扫盲篇„„„„„„„„„„„„„„„„„„„„(1) 二. 疱丁解马-木马查杀深度剖析之进程篇(一)„„„„„„„„„„„„„„„„„(3) 三. 疱丁解马-木马查杀深度剖析之进程篇(二)„„„„„„„„„„„„„„„„„(7) 四. 疱丁解马-木马查杀深度剖析之进程篇(三)„„„„„„„„„„„„„„„„„(12) 五. 疱丁解马-木马查杀深度剖析之进程篇(四)„„„„„„„„„„„„„„„„„(18) 六. 疱丁解马-木马查杀深度剖析之自启动项篇(一)„„„„„„„„„„„„„„„(24) 七. 疱丁解马-木马查杀深度培析之自启动项篇(二) „„„„„„„„„„„„„„„(30) 八. 疱丁解马-木马查杀深度培析之自启动项篇(三) „„„„„„„„„„„„„„„(35) 九. 疱丁解马-木马查杀深度培析之自启动项篇(四) „„„„„„„„„„„„„„„(41) 十. 疱丁解马-木马查杀深度剖析之文件篇(一) „„„„„„„„„„„„„„„„„(46) 十一.疱丁解马-木马查杀深度剖析之文件篇(二) „„„„„„„„„„„„„„„„„(52) 十二.疱丁解马-木马查杀深度剖析之文件篇(三) „„„„„„„„„„„„„„„„„(61)
资源详情
资源评论
资源推荐
目 录
一. 疱丁解马-木马查杀深度剖析之扫盲篇„„„„„„„„„„„„„„„„„„„„(1)
二. 疱丁解马-木马查杀深度剖析之进程篇(一)„„„„„„„„„„„„„„„„„(3)
三. 疱丁解马-木马查杀深度剖析之进程篇(二)„„„„„„„„„„„„„„„„„(7)
四. 疱丁解马-木马查杀深度剖析之进程篇(三)„„„„„„„„„„„„„„„„„(12)
五. 疱丁解马-木马查杀深度剖析之进程篇(四)„„„„„„„„„„„„„„„„„(18)
六. 疱丁解马-木马查杀深度剖析之自启动项篇(一)„„„„„„„„„„„„„„„(24)
七. 疱丁解马-木马查杀深度培析之自启动项篇(二) „„„„„„„„„„„„„„„(30)
八. 疱丁解马-木马查杀深度培析之自启动项篇(三) „„„„„„„„„„„„„„„(35)
九. 疱丁解马-木马查杀深度培析之自启动项篇(四) „„„„„„„„„„„„„„„(41)
十. 疱丁解马-木马查杀深度剖析之文件篇(一) „„„„„„„„„„„„„„„„„(46)
十一.疱丁解马-木马查杀深度剖析之文件篇(二) „„„„„„„„„„„„„„„„„(52)
十二.疱丁解马-木马查杀深度剖析之文件篇(三) „„„„„„„„„„„„„„„„„(61)
疱丁解马-木马查杀深度剖析
- 1 -
疱丁解马-木马查杀深度剖析之扫盲篇
一、前言
在进入正文之前呢,容我先说几句废话。
在写此文之前,我曾写过一篇“高级木马的自我保护技术与查杀之策”,承蒙各位朋友的厚爱,被各网
站所转载,亦曾有许多朋友来信求助。
由于该文是心血来潮后的随笔所写,所以并没有经过深思熟虑,也并没有脉络可循,至使有的朋友能看
懂,有的却看不懂。而看得懂的呢,亦有很大一部分并不能真正的应用文中所提的查杀技巧。
故一直有心再写一篇文章,帮助深受木马毒害的朋友们了解木马是什么,又如何查杀。
本文适于下列人员阅读:
能熟练使用计算机的人
想自己动手解决问题的人
钱没有多到电脑一出问题就扔到电脑修理公司的人
适于下列人员参考:
电脑维修人员
微机管理人员
安全相关的程序开发人员
本文所要达到的目的是:
让菜鸟也可以了解系统安全自己来动手查毒杀马,由求助者变为帮助它人者。
在杀毒软件无能为力的情况下,借助本文的知识让你仍然能借助工具完成清理查杀的任务。
让您真正的明白一些看似神秘的、高深莫测的专用术语与技术的内幕。
让您了解 Windows 系统的底层知识。
本文以手动查杀为主,辅以必要的工具,文中用到的工具与测试用的仿木马小程序都提供了下载地址,
供朋友们下载试用。
本文作者为 MuseHero,您可在网络上任意转载,但请注明出处、作者并保持文章的完整性,谢谢。
二、木马知识扫盲篇
什么是木马呢?木马只是一类程序的名字,为实现特殊目的而制作并偷偷植入目的计算机中的程序的
统称。
其名字源于古希腊神话《木马屠城记》,全名为“特洛伊木马”有兴趣的可以翻看相关资料,很不错的
一篇故事。
那什么又是程序呢?呵,即然是扫盲篇,我们就不能回避这些让人头都大的问题,先从最基本的开始,
熟悉计算机的朋友们可以直接跳到第三章去。
我们先了解一些基本的概念:
概念一:计算机。就是我们的电脑了,指的就是一堆硬件,显示器、主机、键盘、鼠标等等,当然了,
拆开主机还有一堆零碎。我们只需要了解其中几个后面会提到的就行了。
CPU:计算机的指令处理单元。所有的工作都是由它来做的,同一个 CPU 同一时间只能处理一条指令,
就是说一旦 CPU 被某一程序占用,那在同一时刻内其它程序就肯定是空闲等待状态(双核的可以同时执行
两条,以此类推)。
内存:内部存储器。CPU 执行的指令都是由内存中读取的,所以,一个程序要运行首先要装入到内存中。
磁盘:外部存储器。存放文件数据的地方。计算机中所有的数据平时都是存在这里的,只有在需要执行
或查看时,才读取到内存中。
但只有硬件,是不能使用的,还需要软件的配合,我们买电脑时电脑中大都安装了某一操作系统,主流
的就是 MSWindows 系统了(还有其它的操作系统如 Linux 等,这里不做讨论)。这就是我们需要了解的也
是以后要频繁出现的第二个概念了“系统”。
疱丁解马-木马查杀深度剖析
- 2 -
概念二:系统。系统其实在大多数情况下都指的是操作系统,也就是帮我们使用与管理硬件的软件系统,
当我们按下机箱电源后,即由主板上的 BIOS 检测硬件、再交由硬盘中的引导程序启动操作系统,然后就出
现了我们所熟悉的 Windows 主窗口(计算机在启动时做了些什么,我们会在后面详细的讲解),而以后我
们的所有工作,看电影、听歌曲、玩游戏、上网浏览等等都是在这个窗口中进行。操作系统维持这个窗口
的显示及一些常用功能的完成,而这些功能是由一系列的程序来实现的,这又引出了我们的第三个概念“程
序”
概念三:程序。程序是什么呢?程序就是一组指令执行序列。呵,有点专业了是不?什么又叫指令执行
序列呢?
举例来说:我管理着一个工厂,正常情况下我让工人们按这样来工作“先去原料仓库取原料--- 进行
初步加工--- 进行精细加工-- 进行零配件组装--- 验收--- 合格则送入成品库-- 不合格则销
毁”。这就是一个指令执行序列,当情况为正常时,工人们执行的是这个序列也就是这个“程序”。而在
旺销的季节呢,我还有第二个程序“取原料---- 进行初步加工---- 组装---- 进成品库”。当情况
为供不应求时,我就执行第二个程序。还有第三个、第四个„„等等,在不同的情况下,我让工人们执行
不同的程序。
计算机程序也是一样的,跟据用户要求的不同,执行不同的指令序列,比如您要画图,你可能会这么操
作“点击开始菜单-- 选择所有程序-- 在所有的程序中选择附件-- 再在附件中选择画图”,这就是
你向操作系统下达的指令。操作系统得到您的指令后,则会执行画图程序,也就是实现画图目的的一系列
指令,而这些画图的指令储存在“mspaint.exe”文件中。操作系统会将 mspaint.exe 中的指令装入到内存
中交由 CPU 开始一条条的执行。
总结一下:程序是什么呢?说白了就是一个计划书,里面记载了先做什么后做什么。好的程序是好的计
划,坏的程序就是坏的计划,比如:“收集炸药-- 买雷管-- 制成炸弹- 放到张三的床下面- 引爆”,
这就是一个坏计划,相对于计算机来说就是一个坏程序。坏程序有破坏作用吗?也就是说你写了个爆了张
三的计划书就可以炸了张三吗?当然不可以,只有计划是不行的,还要去执行才能真正起到作用。所以,
一个木马程序仅仅是存在于您的计算机中时并不可怕,可怕的是它执行起来。程序执行起来是什么呢?那
就是我们要说的第四个概念“进程”-- 执行中的程序。
概念四:进程。程序一旦进入内存中开始执行,就叫做进程(进程其实就是容纳指令与资源的容器)。
也就是说,他已经开始工作了,开始买炸药、制炸弹了,等执行到引爆那一条指令时,张三也就完蛋了。
所以,检查可疑进程,就是查杀木马的关键环节,也是重要的手段与方法。找到木马的进程,并结束它,
在它执行到引爆这条指令之前,就停止它的执行,并将它的程序自计算机中删除掉,就是我们所要达到的
目的。
说到这里,细心的读者们可能想到了一个问题,画图程序的执行,是因为我们向操作系统下达了画图的
指令,所以操作系统才调入画图程序开始执行画图的指令序列。但是木马程序又是谁给操作系统下达的指
令让木马的工作计划得到执行的呢?这就是我们下面要说的第五个概念“自启动程序”
概念五:自启动程序。顾名思义,自启动程序,也就是不用您自己动手它自己就可以启动起来开始执行
的程序。这是些什么程序呢?为什么要允许程序这样做呢?难道是专为木马准备的?呵,当然不是。自启
动程序有二大类,一是系统需要的;二是用户需要的。
系统需要的,是因为有些工作是无须经过用户同意,必须去做的。比如,鼠标驱动。为了能让用户使用
鼠标,系统要自动加载鼠标驱动程序并执行。
用户需要的,一些重复性工作可能用户想让系统自动去做,而不是每天每时的重复这份工作。比如:用
户可以设定多长时间无操作,就自动运行屏幕保护程序以便保护屏幕不被烧坏。这显然必须要屏幕保护程
序能自动的运行,用户是不可能每次手动去执行这个程序的。
而木马就是利用了这些本来是为系统或用户提供方便的手段,来实现自动运行它们自己的目的。如:木
马用自己来取代屏幕保护程序,这样,长时间无操作时,运行的就不再是屏幕保护程序而是木马了。
疱丁解马-木马查杀深度剖析
- 3 -
在系统中有很多地方或方法是可以让程序自动运行起来的,这个我们在后面将一一讲述。而清掉自启动
项,让木马程序得不到执行,显然也就成为了我们查杀木马的重要手段之一。
而系统又是如何知道,哪一个程序应该在开机后就自动运行,无须等用户来操作呢?朋友们应该能猜到,
系统肯定是把这些需要自动运行的程序都记录到了某一个地方,记录到哪里了呢?这就是我们要讲的第六
个概念“注册表”
概念六:注册表。注册表是什么呢?是系统记录信息用的一个数据库,举例来说它就像公司档案柜一样,
发工资时,财务人员要查阅档案,以确定哪个员工应该发多少钱。就像系统启动时查阅注册表,确定哪个
程序应该自动启动起来一样。
这是一个非常宠大的数据中心,系统的关键信息都记录到那里,与现实中我们的档案柜一样,都很重要,
一旦损坏将造成无可挽回的后果,所以微软公司不建议直接对注册表进行操作。当然了,木马的作者通常
是不会理会微软的建议的。所以,木马通常都会将自己写入到注册表的某个自启动项中,以便开机时自动
运行,而无须经过用户的同意。
讲到这里,又有一个不容回避的问题出现了,上面我们说了,木马程序其实就是一个计划书,而为了执
行这份计划书,木马需要把自己写到注册表中的自启动程序序列中去。而问题就是,这份计划书是如何来
的呢?如果得不到执行,它又如何将自己写到注册表的自启动程序中去呢?不放到自启动程序中它就得不
到执行,而得不到执行,它也就无法起到作用也包括无法将自己写到注册表中去„„晕了,这成了先有鸡
还是先有蛋的问题了。那么木马是如何进入我们的计算机并获得首次执行的呢?
这就是我们要讲的第七个概念了“侵入”
概念七:侵入。侵入是什么呢?也就是侵略进入喽,侵略需要被侵略者同意吗?当然不需要。将木马程
序放入您的计算机,并让它得到首次执行的过程就是侵入。
侵入的方法有很多种,我们将在后面主动防御一章中详细讲解。因为,相信现在朋友们最关心的并不是
如何不让他进来,而是„„我的电脑中现在是不是正在执行着木马程序呢?已经执行到了哪一步呢?是否
马上就要引爆了呢?我关机后下次还能打开不?
好,接下来,就让我们进入下一章,一起来看看,电脑中正在执行的木马程序“木马进程”。
疱丁解马-木马查杀深度剖析之进程篇(一)
三、木马的查杀之进程篇
1、进程的查看
进程,我们上面说过了,狭义上讲就是正在执行中的程序。那如何来查看系统中都有哪些程序正在执
行呢?(先看下图 03-1:)
疱丁解马-木马查杀深度剖析
- 4 -
系统自带了一个“任务管理器”可以使我们看到系统中当前的进程,在桌面下方的任务栏按右键,选择
“任务管理器”或同时按下“Ctrl Alt Del”三个键、或同时按下“CtrlShift ESC”三个键,都可以
打开任务管理器程序,看到上面的窗口。
看到上面的图时,会不会有点发昏?20 个进程,哪个是好的哪个是坏的呢?上面的信息又都是些什么
意思呢?
不要着急,让我来教教你怎么来看这些信息。
首先,显示哪些信息,是可以自由选择的,看到最上面的菜单没?就是“文件、选项、查看、关机、
帮助”。依次选择“查看”---“选择列”并勾选里面的相应项就可以显示相应的信息。
举报帖子
我们关心的是前五个,即:映像名称、PID、CPU、CPU 时间、内存使用,下面依次进行介绍。
l 映像名称:即进程所对应的同名程序名字。其中有两个是例外,“System”代表的是系统,并没有对
应的同名程序;“System Idle Process”代表的是空闲进程,同样没有对应的同名程序,它占据了 CPU
的空闲时间。
我们可以依据此栏,来找到进程对应的程序文件。
lPID:英文件缩写,即进程的 ID,是一个唯一的数字,唯一的代表一个进程。
我们可以依据此栏来区分进程,尤其是同名的进程,比如:SVCHOST.EXE 进程。
lCPU:即该进程当前消耗 CPU 的百分比,如果某个进程正在工作,那么 CPU 一列的数值就会是非零,工
作量越大,其数值越高。例外的是“System Idle Process”进程,它的数值越高,说明当前的系统越是
空闲,所有进程的 CPU 一栏的数值相加等于100%CPU 占用。
我们可以依据此栏来查看,哪些进程正在工作,哪些进程是空闲的。上面我们说过,同一 CPU 在同一时
间只能处理一个工作,所以如果某一进程长时间大量占用 CPU,那么将会导致其它进程得不到或得到很少的
CPU 时间来处理,使系统反应速度严重迟缓。这种情况的出现,通常是程序出现了问题,我们就要考虑结束
剩余66页未读,继续阅读
yuxicun2
- 粉丝: 0
- 资源: 16
上传资源 快速赚钱
- 我的内容管理 收起
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
会员权益专享
最新资源
- RTL8188FU-Linux-v5.7.4.2-36687.20200602.tar(20765).gz
- c++校园超市商品信息管理系统课程设计说明书(含源代码) (2).pdf
- 建筑供配电系统相关课件.pptx
- 企业管理规章制度及管理模式.doc
- vb打开摄像头.doc
- 云计算-可信计算中认证协议改进方案.pdf
- [详细完整版]单片机编程4.ppt
- c语言常用算法.pdf
- c++经典程序代码大全.pdf
- 单片机数字时钟资料.doc
- 11项目管理前沿1.0.pptx
- 基于ssm的“魅力”繁峙宣传网站的设计与实现论文.doc
- 智慧交通综合解决方案.pptx
- 建筑防潮设计-PowerPointPresentati.pptx
- SPC统计过程控制程序.pptx
- SPC统计方法基础知识.pptx
资源上传下载、课程学习等过程中有任何疑问或建议,欢迎提出宝贵意见哦~我们会及时处理!
点击此处反馈
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功
评论0