瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 【原创】如何用Procexp和Autoruns工具识别与删除木马程序

«23456789   5  /  9  页   跳转

【原创】如何用Procexp和Autoruns工具识别与删除木马程序

Autoruns更新到8.3
更新内容:
1)增加了"print monitors"页签项
2)Explorer项增加了"Column handlers"项
3)显著提高了程序的签名验证速度

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-10-27 15:38:25
描述:



gototop
 

引用:
【loveoshio0202的贴子】我比较菜。看不懂英文。。。。。你能不能把常见的木马删除的方法。发出来?
...........................


目前没有样本,以后有的话我随时发上来
gototop
 

有些木马把自己的属性设置成隐藏、系统属性,并且把注册表中“文件夹选项中的隐藏受保护的操作系统文件”项和“显示所有文件和文件夹”选项删除,致使通过procexp可以在进程中看到,但去文件所在目录又找不到源文件,无法进行删除。(正常如图,被修复后看不见图中标注的项)

针对这种情况可以把下面内容存储成ShowALl.reg文件,双击该文件导入注册表即可

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30501"
"Type"="radio"
"CheckedValue"=dword:00000002
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51104"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden]
"Type"="checkbox"
"Text"="@shell32.dll,-30508"
"WarningIfNotDefault"="@shell32.dll,-28964"
"HKeyRoot"=dword:80000001
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"ValueName"="ShowSuperHidden"
"CheckedValue"=dword:00000000
"UncheckedValue"=dword:00000001
"DefaultValue"=dword:00000000
"HelpID"="shell.hlp#51103"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""



具体操作方法:
1)通过记事本新建一个文件
2)将以上内容复制到新建的记事本文件中
3)通过记事本文件菜单另存为show.reg
4)双击存储的showall.reg文件,点击弹出的对话框是按钮即可。


注意:以上方法对win2000和XP有效

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-10-27 18:58:29
描述:



gototop
 

一般木马程序为了减少程序大小、防止反汇编,都采用加壳技术,对于可疑程序我们可以通过这一点可以提高木马的识别率,procexp可以看到运行的程序是否采用了加壳处理。

具体操作如下:
1)在Options菜单中选择Configure Highlighting...

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-10-27 19:31:35
描述:



gototop
 

2)设置颜色

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-10-27 19:34:53
描述:



gototop
 

3)进程列表中加壳程序则以设置的特殊颜色显示

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-10-27 19:37:34
描述:



gototop
 

注意:不是所有加壳的程序都是木马的,我贴图中的金山词霸被金山公司加了UPX壳
gototop
 

引用:
【秋田的贴子】请问:这是两个什么东东?楼主的机子里也是一样的。
...........................


那是微软内核用硬件中断和缓存调用,俺也不是很懂,不用去管它
gototop
 

Autoruns更新到8.31

不知Mark这老先生干嘛,更新这么快,功能没啥变化,估计是修改BUG吧
gototop
 

灰鸽子用procexp不易找到,建议先用Autoruns删除启动项,重启计算机,再删文件,以下是我的一点心得,希望对大家有所帮助。
gototop
 
«23456789   5  /  9  页   跳转
页面顶部
Powered by Discuz!NT