Simone分辨真假木马进程
的有关信息介绍如下:
经常上网而没中过木马的人,恐怕找不出多少。
我们怎么判断自己中了木马呢?最简单的是看系统
是否变满了。如果表面现象不明显,我们又怎么判断呢?检测
进程,把木马揪出来!
一、利用工具快速查木马
1.用Procexp揪出简单伪装的木马
Process Explorer是一款进程查看工具,与Windows任务
管理器相比其功能更显强大,它不仅具备监视、暂停、终止进
程的功能,而且还可以查看到进程所调用的 DLL 文件,包括
隐藏进程和内核进程。如果木马仅仅是简单的伪装了进程名,
我们从Process Explorer程序里,可以轻松将它找出。
运行“Pr o c e xp客户端”程序,在编辑区下方的窗口
所显示的信息,则是选择进程的详细内容,我们可以通过
其提示得知进程主要调用哪些DLL文件。这里展开普通进程
树EXPLORER.EXE,从中找到自己认为可疑的程序,例如
svch0st.exe看似系统进程,竟然出现在了普通进程树里,因此
可以肯定它就是运行在系统里的木马进程。
小提示:有些木马为了迷惑用户,会将所运行的进程
名称,更改成与其系统及为相近的进程名称,因此如不仔细
观察,很容易让其木马“蒙混过关”。 一般容易被伪装的系
统进程有svchost.exe、iexplore.exe、explorer .exe、winlogon.
exe、csrss.exe等名称,其木马会在进程名上做修改,比如将
里面的字母o改成极为相似的数字0,字母l改成数字1等等。
2.利用智能杀毒伴侣分辨木马进程
智能杀毒伴侣是一款病毒木马清除工具,它可以帮助你
自动分辨进程与木马的安全性,让你不必费心就能轻松揪出系
统里的木马程序。运行智能杀毒伴侣客户端,在弹出的软件界
面内,选择“进程管理”标签,此时右侧编辑区就会显示出
当前系统所有运行的程序进程,并且智能杀毒伴侣已经自动为
进程作上了安全标记,其安全栏内有UN出现的标记,都被视
为可疑进程,对于这些进程请根据里面的“描述”和“文件路
径”信息,来判定木马病毒即可。
小提示:刚才智能杀毒伴侣检测出带有UN标签的huigezi.
exe程序,里面没有进程描述,也没有文件路径信息,虽然勉
强能判定是木马,但是其木马来历不详,以免错杀了其他辅
助程序,因此这里用右键点击该进程,选择“百度搜索”或者
“Google搜索”选项,来对不明进程进行查询,从而可以得
知程序的真实身份。
二、检查端口信息 揪出进程木马
如果你对可疑进程还拿不准,还可以查看该进程使用的
端口,获得更多证据。
1.检测远程IP是否为网站木马
端口查看工具有很多,其功能也大同小异,这里就以前
面介绍的Procexp工具为例,打开Procexp操作界面,选择自己
认为可疑的进程后,单击“右键”按钮,在弹出的菜单里选择
Proper t ies选项,或者直接双击可疑进程,也可同样达到打开
“进程属性”对话框的目的。然后选择TCP/IP选项,可以从中
看到程序访问网络的具体情况。如果可疑进程所连接的远程IP
地址端口为80端口,众所周知这是网站所开放的端口,如果
不是那可就有问题了,通过IE浏览器输入IP地址进行查询,结
果若出现无法打开网站的情况,便可判定它就木马进程。
2.查询远程IP及其对应的物理地址
假如远程主机连接的不是80端口,而是其他的数字端
口,你就需要知道它确切的实际情况,比如域名地址、实际IP
地址的方位等等。打开“CMD命令”窗口,输入ping -a IP地
址命令,对其IP进行域名查询后,得知其IP对应的域名情况。
然后进入IP地址查询一类站点,将所得到的域名输入,进行查
询后可知域名对应的IP地址及物理地址。目前系统没有跟美国
有关系的应用软件,所以可以判定这是一个木马进程,而远程
连接的IP地址很可能是用来操控木马的肉鸡或者黑客的本机。
三、检查注入类的木马
可能大家都会碰到过这种情况,其进程本身没有任何问
题,但总是莫名其妙地打开可疑端口,弄得系统总被人入侵。
想结束吧,害怕会影响到有关联的正常文件,所以很矛盾。
其实我们可以根据进程调用的DLL文件,核对描述信息逐一检
查,很容易揪出捣乱的“罪魁祸首”。
1.检测DLL文件产品信息
通常情况下安全进程加载到模块,都会有微软的
Microsoft Corportaion信息提示,由此也可判断它是否木马。
运行Procexp程序,在工具栏上点击View DLLs按钮,然后就
可在下面窗口显示出选中进程所调用的DLL文件。从中你可
逐一检查每个DLL文件Company Name栏,是否都是Microsoft
Corportaion的标志。如果遇到调用的文件信息为空或者其他公
司,那么你就有必要怀疑它的安全性。
2.通过版本信息来辨真伪
可能根据以上产品信息,对DL L文件作判断有点太武
断,如果怕弄错,你可以进一步分析。右键点击该进程或者
DLL文件,在弹出的属性对话框内,可以查询对应文件的相关
信息。通常情况下,安全的文件都会有版本、公司、产品名称
等信息,所以针对这种情况你可以查找一下,是否都具备以上
信息条件。在非特殊情况下,倘若缺少任何一个信息,那么其
文件就很有可能是木马。
3.微软数字签名及时间检测
这里不排除有些木马对以上文件的相关信息做了伪装,
所以对于这类极难分辨的木马,我们可以通过观看微软数字签
名,来识别文件的安全性。在Procexp列表,右击可疑进程,
选择Properties选项,在弹出的属性对话框里,点击上方Image
标签,在显示的Image页面内,可以看到其进程的描述信息。
其Ver i fy标签会显示出数字签名的验证信息,微软程序会提示
(Verified) Microsoft Windows Publisher信息,如果不是的话,
进程信息中会显示not Verified信息。但是对于DLL文件无法在
Procexp进行数字验证。
因此这里只能通过文件“创建时间”和“修改时间”来
作出判断。首先要知道系统正常DLL文件创建的时间和修改时
间,然后在系统目录下,找到与其不一样的DLL文件时间,而
这个文件就可以确定是木马DLL文件。
小提示:为了不让细心的用户发现木马进程运行,有很
多木马作者在配置木马时,都会勾选上其木马运行的隐藏功
能,这样当木马运行时不容易被发现其木马进程。我们可以用
“冰刃”来查看隐藏进程,打开冰刃,编辑区所显示的是当前
系统运行的所有程序进程,如果有隐藏进程,其名称会以红色
颜色标记上,而这类进程就有可能是为木马进程。
