瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 【原创】如何用Procexp发现系统加载的可疑驱动项

1   1  /  1  页   跳转

【原创】如何用Procexp发现系统加载的可疑驱动项

收藏
BlackStone
头像
叱咤花甲狮
  • 帖子:2616
  • 注册: 2005-09-27
  • 来自:
发表于: 2006-03-28 16:01 | 显示全部 短消息 资料
字号: 1楼

【原创】如何用Procexp发现系统加载的可疑驱动项

本人用使用Procexp已经有很长时间了,自认为对其的使用比较精通,今天看了Mark的BLOG的“神秘的驱动”(http://www.sysinternals.com/blog/2006/03/case-of-mysterious-driver.html)一文,感觉到自己使用Procexp还是不到位。Procexp还有查看当前操作系统加载了那些驱动的功能,此功能对Rookit级木马的检测方面很有帮助。

工具描述:http://www.sysinternals.com/Utilities/ProcessExplorer.html
下载地址:http://www.sysinternals.com/Files/ProcessExplorerNt.zip
社区论坛:http://www.sysinternals.com/Forum/forum_topics.asp?FID=2

说明:转载请注明出处和作者-BlackStone(最近在网上看到很多网站转贴了我的文章,没有注明出处和作者,更有甚者把图片修改后署上自己的名字)。
最后编辑2006-05-15 23:13:07
分享到:
gototop
 
BlackStone
头像
叱咤花甲狮
  • 帖子:2616
  • 注册: 2005-09-27
  • 来自:
发表于: 2006-03-28 16:02 | 显示全部 短消息 资料
字号: 2楼

现在部分木马采用了Rookit的技术,我在“RootKit木马的亲密接触”(http://forum.ikaka.com/topic.asp?board=28&artid=7538008)已有所描述,也就说木马采用驱动技术,对付这样的木马发现其驱动程序是关键。对于一般系统驱动启动项,我们可以用Autoruns查看,但它只能查看一些静态加载的驱动,它的实现原理是通过注册表驱动项的键值来检测启动项,对于动态加载的驱动它是看不到的。

附件附件:

下载次数:581
文件类型:image/pjpeg
文件大小:
上传时间:2006-3-28 16:02:15
描述:
gototop
 
BlackStone
头像
叱咤花甲狮
  • 帖子:2616
  • 注册: 2005-09-27
  • 来自:
发表于: 2006-03-28 16:02 | 显示全部 短消息 资料
字号: 3楼

另一个重量级工具IceSword有一个查看SSDT(系统服务描述表)的功能,即可以查看那些驱动程序是否替换了系统服务表中的系统内核调用,但对于那些不替换的驱动它是不会显示的。

附件附件:

下载次数:646
文件类型:image/pjpeg
文件大小:
上传时间:2006-3-28 16:02:23
描述:
gototop
 
BlackStone
头像
叱咤花甲狮
  • 帖子:2616
  • 注册: 2005-09-27
  • 来自:
发表于: 2006-03-28 16:02 | 显示全部 短消息 资料
字号: 4楼

下面介绍一下用Procexp查看系统加载的驱动的方法。
1)启动procexp
2)在菜单栏选择View->Show Lower Pane
3)在菜单中选择View->Lower Pane View->View DLL或在工具栏中选择“View DLL”,
4)用鼠标选择Systeim进程,则当前系统加载的驱动程序在下面的列表中被列举出,如图

附件附件:

下载次数:569
文件类型:image/pjpeg
文件大小:
上传时间:2006-3-28 16:02:29
描述:
gototop
 
BlackStone
头像
叱咤花甲狮
  • 帖子:2616
  • 注册: 2005-09-27
  • 来自:
发表于: 2006-03-28 16:02 | 显示全部 短消息 资料
字号: 5楼

查看动态加载的驱动,例如Procexp本身的驱动就是动态加载的,原理是首先EXE释放出PROCEXP100.SYS到%systemRoot%\system32\Drivers目录下,动态加载后删除此文件,PROCEXP100.SYS文件属性如图:

附件附件:

下载次数:589
文件类型:image/pjpeg
文件大小:
上传时间:2006-3-28 16:02:37
描述:
gototop
 
BlackStone
头像
叱咤花甲狮
  • 帖子:2616
  • 注册: 2005-09-27
  • 来自:
发表于: 2006-03-28 16:02 | 显示全部 短消息 资料
字号: 6楼

再举个例子,IceSword之所有可以查看一些Rookit木马进程,也是使用了驱动技术,其驱动文件如图:

附件附件:

下载次数:607
文件类型:image/pjpeg
文件大小:
上传时间:2006-3-28 16:02:44
描述:
gototop
 
BlackStone
头像
叱咤花甲狮
  • 帖子:2616
  • 注册: 2005-09-27
  • 来自:
发表于: 2006-03-28 16:02 | 显示全部 短消息 资料
字号: 7楼

总结:Procexp的查看系统当前加载的驱动程序功能,可以让我们找到那些通过动态加载的可疑驱动程序,发现Rookit级木马的行踪,以上只是本人的一些使用心得,不妥之处,欢迎指正。
gototop
 
BlackStone
头像
叱咤花甲狮
  • 帖子:2616
  • 注册: 2005-09-27
  • 来自:
发表于: 2006-03-28 16:04 | 显示全部 短消息 资料
字号: 8楼

关于Procexp其他功能的使用可参考:
http://forum.ikaka.com/topic.asp?board=28&artid=7318038
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT