第5章b3 特洛伊木马检测、清除与防范.ppt

已知木马的端口列表（简略） 木马检测及清除实验 示例程序利用开放主机端口号和各个木马程序使用端口的对应关系，判断主机是否已中木马，中了何种木马（目前能查找一百余种），并能根据所中木马的类型，对其中的二十几种进行杀灭。此外，用户可自行追加数据库，增加能查找病毒的种类。 关键数据结构 使用端口扫描方法查看有那些端口开放 该方法存在问题： 无法应对隐藏端口 没采用多线程扫描 消除木马进程的步骤 第一步：提升权限 提升本程序权限得目的是，使其能够杀除木马进程，主要是通过AdjustTokenPrivileges函数来完成。 第二步：枚举进程，获得木马进程的进程号码。 首先通过EnumProcesses函数来枚举系统中所有运行的进程。 当获得所有进程的进程号以后，枚举每一个进程所包含的模块，这里使用EnumProcessModules函数： 通过返回的模块信息，我们可以利用GetModuleFileNameEx来取得此模块调用文件的文件名。 第三步：终止木马进程。如果取得文件名和木马的名称一样，则调用TerminateProcess函数终止木马进程。 第四步：清除木马文件。在终止木马的进程以后，就可以删除木马文件，删除注册表项和删除文件中的自启动项的操作了，其中涉及到几个注册表操作函数。 RegOpenKeyEx：用来打开注册表项 RegQueryValueEx：用来查询特定注册表项中的键值 RegDeleteValue：当我们查找到的键名和其含有的键值与木马添加的内容一致时，就可以调用该函数删除此键 对于木马文件，调用DeleteFile函数来删除。 木马病毒清除实验（实验七） 【实验目的】 掌握木马病毒清除的基本原理。 【实验平台】 Windows 32位操作系统 Visual Studio 7.0编译环境 【实验步骤】 从网上下载文件中复制实验文件到实验的计算机上(源码位置：附书资源目录\Experiment\Antitrojan\)。文件Antitrojan.sln为工程文件。使用Visual Studio 7.0编译该工程，生成Antitrojan.exe可执行程序。执行Antitrojan.exe观察执行效果。 【注意事项】 程序的设计思路参考下载文件(文档位置：解压缩目录\Experiment\Antitrojan\doc\设计文档.doc)。 实验结果 木马防治实用工具 个人防火墙 Windows自带个人防火墙 第三方个人防火墙工具 天网 Zone Alarm Pro 木马专杀工具 360木马专杀 木马克星 木马清道夫 QQ木马专杀 大多数杀毒软件都具有防范木马的能力 其他工具 进程/内存模块查看器 在Windows下查看进程/内存模块的方法很多，有PSAPI、PDH和ToolHelper API。 /shotgun/ps.zip 端口扫描（端口进程关联软件） 关联端口和进程的软件也是重要的工具之一，虽然DLL木马隐藏在其他进程中，但是多多少少会有一些异常，功能强大的Fport就是一个优秀的进程端口关联软件，可以在以下地址下载到：/rdlabs/termsofuse.php?filename=FPortNG.zip 嗅探器 嗅探器帮助我们发现异常的网络通讯，从而引起我们的警惕和关注，嗅探器的原理很简单，通过将网卡设为混杂模式就可以接受所有的IP报文，嗅探程序可以从中选择值得关注的部分进行分析，剩下的无非是按照RFC文档对协议进行解码。 代码及头文件：?/shotgun/GUNiffer.zip编译后的程序：?/shotgun/GUNiffer.exe 检查及保护注册表 /public/tools/ntregmon.zip 查找文件 /public/tools/ntfilmon.zip 商用杀病毒软件 系统文件检查器 几种常见木马病毒的感染特征 一、BO2000 查看注册表［HEKY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicse］中是否存在Umgr32.exe的键值。有则将其删除。重新启动电脑，并将\Windows\System中的Umgr32.exe删除。 二、NetSpy（网络精灵）　　国产木马，默认连接端口为7306。在该版本中新添加了注册表编辑功能和浏览器监控功能，客户端现在可以不用NetMonitor，通过IE或Navigate就可以进行远程监控了。其强大之处丝毫不逊色于冰河和BO2000！服务端程序被执行后，会在C:\Windows\system目录下生成netspy.exe文件。同时在注册表［HKEY_LOCAL_MACHINE\softwa