过卡巴斯基主动防御
来源:互联网 发布:淘宝无线店铺装修教程 编辑:程序博客网 时间:2024/04/30 08:38
安全诊所的值班医生张帆,正在查询一些资料。这时推门进入一位病人。病人称他最近一段时间,很多和自己相关的网络账户都被盗了,想让医生看看是什么原因。 张帆医生询问患者有没有安装杀毒软件。患者称自己安装的杀毒软件是最新版本的卡巴斯基,不但每天准时更新病毒库,并且还打上了系统的所有补丁。 听了病人的讲述,张帆医生说:在排除系统漏洞情况下,能够绕过卡巴斯基的防御的木马就只有Evilotus。 Evilotus木马档案 Evilotus木马是由“一步江湖”推出的一款国产木马程序。这款全新的木马程序不但采用了反弹连接、线程插入、服务启动等成熟的木马技术,而且还有一些独创的木马技术。比如它具有SSDT恢复功能,通过它可以轻松绕过卡巴斯基的防御功能,实现了对卡巴斯基杀毒软件的免疫。 连接端口无法躲避 张帆医生明白,所有的木马只要成功的进行连接,接收和发送数据则必然会打开系统端口,就是说采用了线程插入技术的木马也不例外。他准备通过系统自带的netstat命令查看开启的端口。 为了避免其他的网络程序干扰自己的工作,首先将这些程序全部关闭,然后打开命令提示符窗口。张帆医生在命令行窗口中输入“netstat -ano”命令,这样很快就显示出所有的连接和侦听端口。张医生在连接列表中发现,有一个进程正在进行对外连接,该进程的PID为1872(图1)。 顺藤摸瓜查找木马 由于已经获得了重要的信息内容,现在我们运行木马辅助查找器,点击“进程监控”标签,通过PID值找到可疑的Svchost进程。 选中该进程,在下面的模块列表查找,很快就找到了一个既没有“公司”说明,也没有“描述”信息的可疑DLL文件,因此断定这个就是木马服务端文件(图2)。看到该木马使用了线程插入技术,并且插入的是系统的Svchost进程。 顺利找到木马程序的进程以后,张医生开始查找木马的启动项。运行System Repair Engineer(SRE)这款系统检测工具,依次点击“启动项目→服务→Win32 服务应用程序”按钮。 在弹出的窗口中选择“隐藏微软服务”选项后,程序会自动的屏蔽掉发行者是Microsoft的项目,很快医生就发现一个和木马文件名称相同的启动服务(图3),因此断定这就是木马的启动项。 清除木马不过如此 在木马辅助查找器的“进程监控”标签中,通过PID值找到被木马程序利用的Svchost进程,选中它,点击 “终止选中进程”按钮就可以终止该进程。选择“启动项管理”标签中的“后台服务管理”选项,在服务列表中找到木马的启动项,选择“删除服务”按钮即可。 现在打开注册表编辑器,接着点击“编辑”菜单中的“查找”命令,在弹出的窗口中输入刚刚查找到的木马文件名称,当查找到和木马文件名称相关的项目后进行修改或删除(图4)。最后我们进入系统的System32目录中,将和服务端相关的文件删除即可完成服务端的清除工作。 | |
楼主 |
- 过卡巴斯基主动防御
- 如何过诺顿主动防御
- 过卡巴注册表主动防御
- 过卡巴注册表主动防御
- 一个过主动防御的方法
- 免杀跟过主动防御
- 免杀与过主动防御
- 免杀跟过主动防御收藏
- 一个过主动防御的方法
- 几个过主动防御的方法
- 所谓主动防御
- 东辉主动防御
- 2008年过卡巴9.0主动防御的最新技巧
- 打开卡巴斯基7.0主动防御后无法上网
- 绕过卡巴斯基主动防御系统方法的讨论
- 绕过卡巴斯基主动防御系统方法的讨论
- 主动防御的新型木马
- 病毒也整主动防御
- 小帅的七个男友 第一章 未恋先失
- 如何快速找回数据库表中误删除的数据
- Oracle 系统表大全
- 四种属性范围(重点)
- 通用的分页储存过程
- 过卡巴斯基主动防御
- Effective Java——Item8:改写equals的时候总是要改写hashCode
- 如果要求精确的答案,请避免使用float和double
- back jobs
- 手动修改spfile.ora文件导致oracle启动不了的解决办法
- 梦回长安
- 东方有线项目分析设计阶段遇到的问题及总结
- MP3"磁盘错误!"解决方法总结
- 多线程下的返回值优化陷阱