您当前的位置:
未知木马别想惹我
作者:本站 来源:本站整理 发布时间:2008-6-6 6:15:28
减小字体
增大字体目前玩黑的朋友们,都在研究怎么修改木马特征码、加壳加花、修改特殊壳等,想尽办法让自己的木马不被杀毒软件查杀。那么,这些“黑”朋友又是如何防范、检测与清除网络上那些未知木马的呢?
注册表监控,防御之道
注册表可以说是Windows系统的心脏,当注册表出现问题之后,往往会造成Windows系统的运行故障,甚至会造成系统的崩溃。同样,木马要进入安植在系统中,也必须对注册表进行一些更改,这样才能调用启动木马。国内的几款杀毒软件,如KV2007与瑞星2007等,都自带了注册表监控功能,可以使用它进行监控。
使用杀毒软件监控注册表
KV2007中实现注册表监控功能,主要是通过“江民木马一扫光”组件实现的,打开KV2007设置对话框,在左侧列表中选择“江民木马一扫光”,勾选右侧的“木马/注册表监控”,再点击“高级设置”按钮,打开注册表监控设置对话框。在左边的列表框中已经显示了木马一扫光默认监控的注册表项目,包括常见的系统启动和自动运行程序项目、Windows安全设置、IE设置和系统文件关联等。但还需要手工添加一些注册表监控项目。
例如防止某些术马后门将自身注册为系统服务,可以点击“添加新类型”按钮,在弹出对话框的“名称”和“描述”中输入说明性的文字“添加系统服务”,在“激发条件”中勾选所有项目,在“保护方式”中勾选“询问”项。确定后在左侧窗口中选择新增的“添加系统服务”类别,点击右边窗口空白处,在下方出现“添加注册项”按钮,点击该按钮,在弹出对话框中选择“根”注册表项为“HKEY_LOCAL_MACHINE”,在“键值”中输入“SYSTEM\CurrentControlSet\Services”,并点击确定后将注册表项“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services”添加到监控项目中。
再用同样的方法,将“HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services”和“HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services”也添加到监控项目中。添加完监控项目后,启动KV2007的“木马/注册表监控”功能。如果有恶意程序试图修改指定的注册表项目,将会弹出提示对话框,询问用户选择“允许”或“禁止”操作。
使用其它工具监控注册表
不是所有用户都安装有江民或瑞星杀毒软件的,但可以使用一个免费的专用注册表监控器“Sundy注册表监控”。
安装并运行“Sundy注册表监控v8.0”软件后,在程序窗口中选择“注册表监控”项目,点击工具栏上的“停止”按钮,暂停注册表监控,然后双击“注册表监控”项目,打开设置对话框,在中间的列表窗口中,有默认监控的注册表项目和键值。点击“添加”按钮,可在弹出对话框中输入要监控的注册表项目或键值,例如我们要检查“.exe”文件关联是否被更改,可在其中输入“HKEY_CLASSES_ROOT\.exe”,确定后即可完成添加。
添加完毕后,关闭对话框,重新启用注册表监控功能,指定的注册表项目就处于被保护状态了。另外,可选择程序界面中的“日志功能”项,点击工具栏上的“启用”按钮,启用注册表监控和程序监控的日志记录功能。以后如果程序监控到了注册表的修改操作,则会发出报警声,并弹出提示对话框。用户可以看到被修改或添加的注册表项位置及添加的项目名称,并且显示是哪个程序对注册表进行了修改。根据这些信息可判断是否为木马或流氓软件,并选择允许修改或拒绝操作。如果是正常的程序对注册表进行修改,可以勾选“不再显示该对话框,以后使用相同的处理方式”项,以避免对话框多次弹出。
程序文件监控
木马在入侵注册表的同时,还要在系统文件夹中安放一些文件,以实现远程控制的功能。因此,只要监控注册表及系统文件夹,就可以防范各种未知的木马病毒,或者在中了木马病毒后,也能有效清除掉。
使用杀毒软件监控程序文件
这里还是以江民杀毒软件KV2007为例,打开KV2007程序设置对话框,在左侧列表中选择“系统监控”项目,在右侧勾选“检查Windows系统文件完整性”项,点击“设置”按钮,打开设置对话框,可以看到这里已经默认有监控的项目了。但是KV2007默认只监控系统目录,可添加指定要监控的文件夹。点击“自定义”按钮,在弹出的对话框中输入监控项名称“程序目录C:\Program*\”,在“监控目标”中选择“访问或创建文件”项。点击“下一步”按钮,在“监控对象”中选择“创建指定路径的文件”,在“指定待监控的文件路径”中输入“*:\Program*\*.exe”,点击“下一步”按钮,设置处理方式为“通知我,由我决定是否允许”,并勾选“记录本次事件”项。点击“完成”按钮,即可新建一条规则,监控配合规则的文件夹目录中生成的EXE程序文件了。
用同样的方法,监控前面提到的几个文件夹路径及相应的程序文件类型。以后有程序试图在指定监控的文件夹中创建文件时,就会弹出提示警告对话框了。一般来说,普通程序运行时,不会在“C:\Program Files\”文件夹下生成文件的,最多是对其中程序运行必须的某些文件进行更改。除非是安装程序或软件,否则在日常操作中会出现类似的提示,可根据提示信息,判断确定是否为木马或病毒。
使用其它工具监控程序文件
“Sundy注册表监控v8.0”也可以监控程序的运行,在程序界面中选择“进程启动监控”项,点击工具栏上的“启动”按钮,即可将该功能启用。当有未知进程运行时,则会弹出提示警告对话框。可选择允许或禁止程序的运行,这对于防范捆绑型木马及网页漏洞运行木马很有效。不过“Sundy注册表监控”软件不具备程序文件生成监控功能,可以考虑利用强大的SSM系统监视器来进行监控。具体的使用方法,已经介绍很多了,这里就不多说了。
小提示:玩游戏的朋友完全可以把整个游戏的安装目录都监控起来,防止有任何EXE文件生成而导致游戏账号被盗。
文章评论 (评论内容只代表网友观点,与本站立场无关!)