木马依靠dll文件作恶。木马运行时,进程列表中不会有新的进程。而且很多DLL木马被插入到系统的关键进程中(无法终止),即使能被杀毒软件检测到,也杀不死。这对系统的安全性造成了极大的威胁。如果你手里没有杀马利器,我们也可以在办公室和excel肉搏战。让我们来看看我们如何使用Excel来处理这个插入lsass.exe进程的木马!
第一步:找到被感染的进程。
最近上网开了一段时间,感觉网速特别慢,就运行‘netstat-a-n-o’检查打开的端口和连接。由进程PID 580发起的连接非常可疑:状态为ESTABLISHED,表明两台机器正在通信(参见图1)。通过任务管理器,你可以知道这个进程是lsass.exe。根据过程的解释,lsass.exe是微软Windows系统的一种安全机制,用于本地安全和登录策略。很明显,这个进程不需要打开端口和外部连接,所以判断这个进程很有可能插入了DLL木马。如果牧民当前没有连接,也可以通过端口状态判断是否被骗。比如TIME_WAIT表示这个连接结束,表示之前已经访问过这个端口,但是访问结束了,表示有黑客入侵了这台机器。监听就是监听,等待连接,但还没有连接,只有TCP协议的服务端口可以处于监听状态。
提示:判断是否中招的前提是找出被感染的过程。根据被插入进程的类别,DLL木马大致可以分为:
1.插入常见的进程,比如notepad.exe和Iexplorer.exe(这类木马的判断很简单,启动后不会启动任何程序,如果在任务管理器中发现上述进程,就可以判断已经被诱骗了)。
2.插入系统进程,比如Explorer.exe、lsass.exe(由于每台电脑开机后都有上述进程,所以可以通过检查端口和进程的特征来判断,比如这台电脑的lsass.exe、winlogon.exe、explorer.exe不会打开端口进行连接)。
3.对于alg.exe、svchost.exe这类自己插开放端口的进程,需要通过连接状态、IP连接、DLL调用来综合判断。
第二步:追踪木马。
知道了DLL木马中插入的进程,我们就可以通过对比进程调用的DLL模块来辨别。
1.启动命令提示符在其他正常电脑上运行' task list/m/fo list g: DLL1.txt '以列表的形式输出当前进程加载的所有DLL文件,然后打开dll.txt,复制lsass.exe加载的DLL文件列表(见图2)。
2.打开Excel,将正常电脑和中学电脑的lsass.exe加载的DLL文件复制到A列和b列,因为Excel有序列号,所以你很容易发现两个lsass.exe加载的DLL文件数量是不一样的(64和68)。现在将B列的字体设置为红色,将B列的内容剪切粘贴到A列,点击Excel的ldquo数据/分类rdquo,重新排序数据后,木马文件在DLL文件中,颜色为连续的红色,但与前一个不同,即mswsock.dll、PsapI.DLL、wshtcpip.dll和share.dll。
小贴士:
如果不能确定哪个进程被插入了木马,可以先输出所有的DLL文件,然后在Excel中进行排序并与正常的DLL文件进行对比,把新增的DLL文件一个一个找出来,以便排查。
第三步:删除木马文件。
从网上可以得知,DLL木马就在以上四个多余的文件中。现在,我们可以通过搜索功能找到这些文件(大部分DLL文件都在系统目录下,这里可以限定搜索范围),通过查看属性,最终找出真凶是C:windowssystem32share.dll。现在,进入安全模式删除share.dll,然后找到该木马的合作伙伴,并根据其创建时间和大小将其删除。一般微软系统DLL文件都有版本标签,文件日期大多相同,可以通过这些属性判断。
提示:对于插入记事本、IE、explorer.exe等进程的dll木马,可以在进程终止后直接删除dll木马。
第四步:做好备份,防患于未然。
相对来说,这个例子中判断系统插入木马的过程比较容易,但是判断开放端口插入系统本身的过程比较困难,比如svchost.exe。所以我们通常会使用Tasklist命令来备份常见的系统进程DLL文件,以便在怀疑自己被诱骗的时候重启并关闭任何不相关的程序,然后通过Excel进行排序,快速找到木马真正的杀手!
注意:系统中有多个svchost.exe进程,但是它们的进程pid不同,所以需要单独备份。
