解析Windows XP操作系统进程

　　为了使程序更趋于我们的使用习惯，大家可以自定义设置。点击左侧视图中的“参数设置”，在右侧界面中可设定是否标示系统文件、正常文件及危险文件;是否所有程序均可运行;是否自动关闭危险文件;还可设定检测刷新时间(图2)。

　　图 2

　　我们可看到“定义文件列表”中显示的是程序预置的定义级别及其功能说明。可根据个人机器的程序运行情况，自行添加定义。例如，平日经常使用“Virtual PC”虚拟机等程序，可将它设置为“正常文件”。在“添加文件定义”弹出窗口中(图3)，输入“程序名称”及“功能说明”并定义级别即可。另外，也可将已知的木马进程添加为“危险文件”。最后，点击“确定并保存设置”按钮。经过这一番定制后，哪些进程存在问题就一目了然了。

　　图 3

　　我们在程序中执行的各项操作，将会被自动记录下来，大家在“柳叶日志”中可以查看(图4)。

　　图 4

　　揭露进程伪装术

　　木马伪装技术的发展可谓日新月异，由进程隐藏到进程插入，使得在查杀方面越来越难以应付了。一般具有进程插入功能的木马会把自身注入其它应用程序的地址空间，而这个应用程序对于系统来说，是一个绝对安全的程序。

　　即使我们查找出了DLL插入进程，如果它是嵌入在系统基本进程中的，如“svchost.exe”等进程，我们是无法结束其运行的。

　　下面，将以实例演示一下线程插入类后门是如何在机器上运行的。我们以目前比较流行的“Devil4.exe”(魔鬼4号)程序为例。

　　运行“EditDevil4.exe”配置程序后，在显示界面中设置“配置文件”(即需要在目标上激活的可执行文件)、端口(可自定义，本例中为9000)、密码及插入进程(一般设置为系统基本进程，本例中为Explorer.exe)(图5)。配置完毕后，执行确认操作，使其生效。

　　图 5

　　一旦目标机器激活了配置好的程序，“Devil4.exe”将立即插入至指定进程中。我们可使用“fport v2.0”这款系统工具查看所有开放的TCP和UDP端口，并显示相应的应用程序(支持WinNT4/2000/XP)。运行“命令提示符”后，进入fport程序的存储路径，运行它。

　　大家注意查看其中的“Explorer.exe”进程，看到其TCP协议开放端口为适才笔者所定制9000端口，此时表明病毒进程插入成功(图6)。“Devil4.exe”后门本身具有删除程序，运行“DelDevil4.exe”程序后，就可清除驻留系统中的后门。

　　图 6

上一页  [1] [2] [3] [4] 下一页

【责编:John】