今天刚刚上班不久,病毒诊所的王斌医生就接待了“病人”家属小张。看着他满头大汗的样子,听着他急切的叙述,王斌医生了解到小张的淘宝网的密码被盗。与此同时,其他的一些账户密码也同时被盗。一听密码被盗,王斌医生的头脑马上浮现出“木马”二字。那么是什么木马这么厉害呢?从小张口中得知,该木马在进入系统不久,就会出现资源管理器进程要求连接网络的提示。www.sq120.com推荐文章
该木马运行后不但占用了大量系统资源,而且使系统运行十分地不稳定。木马会将自己的进程插入到资源管理器的进程中,然后根据黑客设置的窗口标题关键字,去获取指定窗口的键盘输入,从而获得相关的密码信息。通过小张述说的木马特征,王医生果断地下了结论:小张的计算机系统被人种植了“红蜘蛛”木马。
红蜘蛛木马档案
“红蜘蛛键盘记录器”这款木马可以获取多种程序中的信息内容,比如即时通讯软件、游戏、电子邮件等等。该木马在感染系统后,会在系统的System32目录中生成RedSpider.dll和RedSpider.exe这两个文件。其中文件RedSpider.exe是木马程序的主文件,通过它来调用文件RedSpider.dll来执行,最终通过文件RedSpider.dll来获取用户的键盘输入信息。
掌握“蜘蛛”行踪
首先打开系统的任务管理器,通过认真的检测查看后,并没有发现其中有什么可疑的进程,王医生分析该木马可能是使用了Rootkit技术对木马进程进行了隐藏。WwW.ITCOMPUtER.cOm.Cn于是运行IceSword这款可以检测到隐藏进程的工具,点击左侧工具栏中的“进程”按钮,结果和在任务管理器查看的结果一样,也没有发现任何隐藏的进程。
既然没有发现隐藏的进程,那么还有一种可能就是该木马使用了线程插入技术。使用线程插入技术的木马程序都有一个特点,就是喜欢将其线程插入到IE浏览器或资源管理器的进程中,这主要是由于这两个进程是Windows系统中最常见的进程。根据小张先前的提示,看来该木马最有可能将线程插入到资源管理器的进程中(图2)。
发现藏身之所
王医生通过鼠标选择资源管理器的进程Explorer.exe,接着在这个进程上单击鼠标右键,并选择菜单中的“模块信息”命令。然后在弹出的“进程模块信息”窗口认真查找,果然在其中发现了一个名为“RedSpider.dll”的可疑DLL文件。
王医生接着使用System Repair Engineer(SREng)来检查该木马出现的启动项。如果 SREng发现一个可疑的项目,那么它会以颜色高亮显示从而提醒用户。点击SREng窗口中的“启动项目”按钮后,在启动列表发现了一个名为“RedSpider”的启动项。该启动项的名称和可疑DLL文件一模一样,所以它就是木马程序的启动项。
断其头斩其身
既然已经成功的发现木马文件的启动项,现在就可以开始清除木马了。王医生首先在SREng的“启动项目”选项中找到该木马的启动项“RedSpider”,接着点击操作窗口中的“删除”按钮将该启动项删除掉。
但是该木马的进程删除起来却有些麻烦,因为要删除该木马的进程,首先要结束资源管理器的进程,而资源管理器进程又是系统必须运行的进程之一,操作起来有些棘手。
好在IceSword可以帮用户很好的解决。首先在IceSword的进程中选择资源管理器的进程,接着打开其“进程模块信息”窗口,在窗口中找到“RedSpider.dll”后点击“强制解除”按钮即可卸载该DLL文件。最后打开系统的system32目录,找到RedSpider.dll和RedSpider.exe这两个文件进行删除。
随后重新启动系统再对系统的进程、启动项、系统目录进行检查,没有发现可疑文件的踪迹,确定已经将该木马程序成功的清除了。
防范第一
“红蜘蛛”木马主要还是通过网页木马、文件捆绑等方式进行传播。因此,我们须安装杀毒软件来进行木马程序的实时防护,尤其是脚本监控功能可以及时的发现网页中链接的网页木马。
最后,提醒大家注意,资源管理器的进程是一个本地进程,如果有一天防火墙提示你该进程需要访问网络,那么这个进程一定是被恶意程序所利用了。
如何让QQ彻底隐身 面对日渐增多的盗QQ号问题,很多人选择安装杀毒软件和防火墙来规避风险。其实如果我们能够在网上隐身,同样可以降低安全风险。因为如果黑客得不到我们的IP地址,那么他们就无法对这个IP地址进行端口扫描、漏洞溢出、木马种植等操作。www.sq120.com推荐文章
使用代理隐藏IP
寻找代理服务器的方法很多,这里我推荐使用《花刺代理验证》(下载地址:http://download.cpcw.com)。运行《花刺代理验证》后,首先选择“下载代理资源”按钮下载最新的代理列表,接着点击“验证全部”按钮对列表中的代理信息进行验证,耐心等待一段时间就有结果。
接下来我们开始挑选所需的代理服务器。腾讯公司的服务器在深圳,所以在选择代理服务器时,最好选择国内的代理服务器以提高访问速度,并且查找的代理服务器必须是匿名访问的,也就是我们在登录代理服务器时不需要用户名和密码。
现在运行桌面的QQ,在登录界面中点击“高级设置”按钮,接着在“网络设置”区域的“类型”选项中选择需要使用的代理类型。我们选择“SOCKS5代理”,然后将复制的代理粘贴到“服务器”和“端口”选项中,再点击“测试”按钮测试一下代理服务器是否可以在QQ下正常使用。
当系统出现“代理服务器工作正常”的提示后,该代理服务器就可以使用了,点击“登录”按钮就可以登录了。由于使用代理服务器后,“转址服务”会对发送出去的数据包有所修改,致使“数据包分析”的方法失效。以后别人再通过IP地址查看,看到的就是我们代理服务器的IP地址,而不是我们真实的IP地址了。
用网络加速器隐身
这里我们以《统一加速器》(下载地址:http://download.cpcw.com)为例进行演示。首先安装《统一加速器》,接着在登录窗口输入用户名和密码,然后点击“连接”按钮登录。
成功登录以后,我们再登录自己的QQ,这时别人再查看我们的IP地址,它就成为统一加速器的出口IP地址了。之所以出现这样的结果,主要是统一加速器实际上是一个拨号程序,通过该拨号程序可以拨通“统一”所在服务器的VPN,然后统一使用该VPN来访问网络。
另外,防火墙也可以在某种程度上使用IP的隐藏,例如ZoneAlarm防火墙就有一个隐藏在网上的IP的功能。
如何用特殊文件夹存放黑软 在Windows中“\”符号是路径的分隔符,比如“C:\Windows\”的意思是C分区中的Windows文件夹,而“C:\Windows\System.exe”的意思是C分区的Windows文件夹中的System.exe文件。www.sq120.com推荐文章
如果文件名中有“\”符号会怎么样呢?假如“S\”是一个文件夹的名字,这个文件夹位于“F:\”,它的路径就是“F:\S\”,当我们试图访问时,Windows会认为我们要打开的文件是F分区下的名为“S”的文件夹,而非“s\”文件夹,这样Windows就无法准确打开该文件夹,并且会返回一个错误信息,因为以上路径并不存在。
建立目录,绕道而行
但是我们无法直接在系统中建立“S\”文件夹,系统会提示“文件名不能包含‘\’符号”。看来只好采取其它办法来创建这个“特殊”文件夹了。
在“运行”栏中执行“cmd”命令,打开命令提示符窗口,进入到“c:\”根目录下。在“c:\”后输入“mkdir s..\”,按回车键。现在,打开资源管理器,可看到C盘下建立了一个名为“s.”的文件夹,不过这个文件夹既不能打开也不能删除。
不能打开是因它的实际路径是“c:\s..\”(由于是我们自己创建的,可以确定它的实际路径),但在系统资源管理器中,它的文件夹名变成了“s.”,这样当试图打开它时,系统实际上尝试打开的是“c:\s.\”,这当然是不能打开的。系统认为该文件夹并不存在,所以会报错,不能删除也是基于此原因。
既然这样的文件夹在Windows下不会被删除,那么就大可放心地将黑客工具或重要文件保存其中了。经过测试,在其中即使存放木马甚至病毒程序,也不会被杀毒软件查杀到。
虽然这类文件夹在资源管理器中不能正常打开,但可以通过“运行”栏来开启,前提是知道该文件夹的真实路径。比如本例便可通过在“运行”栏中键入“c:\s..\”后按回车键来打开这个文件夹。
删除操作,轻松自如
最后再来说说这类文件夹的删除方法。如果文件夹是空的,可在命令提示符窗口中输入“c:\”,然后再键入“rmdir s..\”命令,按回车执行后即可删除。如果文件夹中已存放了文件,则可键入“rmdir s..\ /s”命令,按回车键后,提示“s..\,是否确认(Y/N)?”时,键入“y”键删除该文件夹。
看到这里,很多朋友可能发现建立这样一个文件夹,不仅可起到防止误删除的目的,还可将一些重要资料存放其中,达到另类加密的效果,一般人还真解不开这个秘密。
From:http://www.itcomputer.com.cn/Article/Network/201309/474.html