驱动木马覆灭记|-站长天下

首页 ┆ 文章中心 ┆ 下载中心 ┆ 娱乐八卦 ┆ 本站论坛 ┆ 拜仁联盟 ┆ 球迷社区 ┆ 博客日志 ┆ 建站服务 ┆ 域名抢注 ┆ 繁體中文

载入中…

E-mail:WebMaster#fcbu.com

\|	源码下载 \| 工具下载 \| 素材下载 \| 教程下载 \| ASP 源码 \| PHP 源码 \| JSP 源码 \| ASP 教程 \| .NET教程 \| PHP 教程 \| 服务器教程 \|
\|	网络资讯 \| 网站运营 \| 网页制作 \| 数据库 \| 网络编程 \| 图象媒体 \| 操作系统 \| 网络应用 \| 软件教学 \| 火爆影视 \| 五花八门\|
\|	电脑医院 \| 系统攻略 \| 网管技术 \| 电脑硬件 \| 软件天地 \| 网络知识 \| 网页制作 \| 编程讨论 \| 综合问题 \| 职场生涯 \| 数码手机\|

载入中…

当前位置:站长天下 -> 电脑医院 -> 驱动木马覆灭记

驱动木马覆灭记

作者：TTXS(Fcbu.Com)　　来源：互联网　　发表时间：2006-08-23　　

驱动木马覆灭记

篇首语:
　　　现在的木马越来越厉害，从Ring 3 到期 Ring 0直接杀进来。本文亦是从大概原理出发，配合工具挖掘出这只“千里马”。
测试环境：
　　　 Windows Xp
　　　终截者入侵阻止 v5.0
　　　安全分析专家 v0.4
　　　 IceSword v1.16
　　　反病毒调试程序 v1.2
　　　 Process Explorer v10.11
还有纸和笔…
开始了。。。
　　　首先，还是要先激活这只“睡马”，醒了之后才会去找主人的。

终截者入侵阻止中的“安全预警“拦截了，正问是否要放过这只“马”呢，一看，既然是自己玩的“马“，当然要“允许”啦
很快，文件监视器生效了，可以在“病毒监控”框中记录下这只马跑过的地方，下过的蛋。。。嘿嘿。。

把记录复制出来看看：
创建时间：　2006-06-15 14:31:37
位　　置：d:\windows\system32\yumhyeuj.d1l
＞＞＞注意，这个文件的后缀是 .d1l (中间的是数字 1 )
创建时间：　2006-06-15 14:31:37
位　　置：d:\windows\system32\drivers\yumhyeuj.sys
＞＞＞驱动保护。驱动名：Yumhyeuj
创建时间：　2006-06-15 14:31:37
位　　置：d:\windows\system32\yumhyeuj.dll
＞＞＞注意，这个后经缀是字母 .dll
创建时间：　2006-06-15 14:31:48
位　　置：d:\windows\system32\config\systemprofile\local settings\temporary internet files\content.ie5\qg85n3v1\xiaoyin[1>.txt
＞＞＞＞内容为：221.235.234.211:80
创建时间：　2006-06-15 14:32:19
位　　置：d:\docume~1\cyq\locals~1\temp\yumhyeuj.log
看看还有什么漏网之鱼，拿出“安全分析专家”，GO GO GO　　

发现了一个隐藏进程和一个隐藏服务
这里没有显示出 “完整的路径名称” 是否为BUG？
注：在注册表中可以找到具体的而且是完整的路径名称：\？？\D:\WINDOWS\System32\drivers\Yumhyeuj.sys　　＜？马脚露出来了
（是否在编程读取路径时碰到\？？导致读取失败）

还有一个dll,则进来这里了。
想要去搜索这些文件，愣是没有找到？？？怎么可能？难道这是一只“天马”？

在CMD及资源管理器中是看不到这些病毒的存在的。
使用IceSword 查看SDT表，原来系统被HOOK了文件的查找。
d:\windows\system32\drivers\Yumhyeuj.sys　　 0x8058c1f4　　 NtQuerySystemInformation
d:\windows\system32\drivers\Yumhyeuj.sys　　 0x805961e4　 NtQueryDirectoryFile
在这两个函数中无论是从CMD下还是在资源管理器中，实现了隐藏指定文件名的功能！
d:\windows\system32\drivers\Yumhyeuj.sys　　 0x805843fb　　 NtQueryValueKey
d:\windows\system32\drivers\Yumhyeuj.sys　　 0x805997c4　　 NtDeviceIoControlFile
d:\windows\system32\drivers\Yumhyeuj.sys　　 0x8057e323　 NtEnumerateKey
d:\windows\system32\drivers\Yumhyeuj.sys　　 0x8056b5f7　 NtEnumerateValueKey
d:\windows\system32\drivers\Yumhyeuj.sys　　 0x8058372f　 NtOpenKEY
再用记事本打开d:\docume~1\cyq\locals~1\temp\yumhyeuj.log看看它里面有什么内容
记录的格式：
　　　时间　　　　　　　　　　　　　　　　　　　窗口　　　　　　　　　　路径名称
[2006-06-15 14:54:21> 口令 C:\Program Files\Foxmail\Foxmail.exe
****　　　　　　　　　　＆ccedil; 这里存放记录的口令
[2006-06-15 14:54:25> 口令 C:\Program Files\Foxmail\Foxmail.exe
****　　　　　　　　　　＜= 这里存放记录到邮箱密码
[2006-06-15 14:54:28> 解析主机地址 C:\Program Files\Foxmail\Foxmail.exe
小结：
　　　这只马首先会生成以下三个文件 yumhyeuj.d1l 、yumhyeuj.sys 、yumhyeuj.dll
还有一个是yumhyeuj.log，这里记录着你输入的任何一个键盘信息，包括你的帐号与密码
而xiaoyin[1>.txt这个文件则记录着这只马的老家地址，发送个指令什么的。偶尔发送些东西什么的。。。
然后，在一瞬间的时间，Process Explorer 中显示，Svchost.exe 正创建一个进程Iexplorer.exe (正常的浏览器进程)，只是被注入了两个DLL（yumhyeuj.d1l 、yumhyeuj.dll），实现其隐藏进程功能及监听TCP 1030 端口。
从哪个.sys的文件来看，系统是被创建了驱动服务。

清除：
　　　打开注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services，删除服务名为：Yumhyeuj 的驱动服务。
　　　这里记得不要急着去终止那个具有隐藏进程的Iexplorer.exe进程，一旦被终止，系统会被重启！
恢复
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dmserver\Parameters下的ServiceDll =　　　　　　%SystemRoot%\System32\dmserver.dll
被替换掉的内容参见下图
　　　最后，重新启动后，删除三个小马（yumhyeuj.d1l 、yumhyeuj.sys 、yumhyeuj.dll）OK。世界清静啦！
完结！好文,要把木马杀光光支持楼主，我正在用～
一句话，有了它可以在网上到处乱窜～终截者入侵阻止
反病毒调试程序
这两个工具看样子不错，偶去下载来试试，加分支持一下！谢谢版主加精．　大家多交流．
终截者入侵阻止　可以在
反病毒调试程序　　在　bbs.s-sos.net　　原创工具版中．　 LZ写的好文章,学习了,介绍的软件下载了谢谢. 楼上的不用客气．
你的支持也是我能继续写其他文章的动力．　谢谢

打印本文　

返回顶部　

加入收藏　

广告位招租

上一篇：如何查杀C:\WINDOWS\TEMP\~4.TMP.EXE？谢谢!

下一篇：局域网重木马,求救

关于本站 - 网站帮助 - 广告合作 - 下载声明 - 友情连接 - 网站地图 - 管理登录
联系方式

联系方式

Copyright © 2004-2007 FCBU.Com All Rights Reserved.
版权所有:『站长天下』新凌讯网络;保留所有权利. 赣ICP备05002812