论文部分内容阅读
前段时间,我因为用了一个比较新的假黑客工具,结果中了病毒。本文就是我杀毒的全过程,虽然走了些弯路,不过,也是为了让大家看看中毒后,要如何思考分析,免得大家认为装个杀毒的或者木马克星什么的就没问题了。
DLL和DL1大不同
拿出我们的骨灰级装备IceSword好好分析一下,启动组是一定没有陌生进程的,果然在IceSword的SSDT(系统服务描述列表)项下发现了几个可疑之处。包括C:\DOCUME~1\swap\LOCALS~1\Temp\Yelfbaav.DL1(注意显示为小写,但为了有所区别这里改为大写,下同)和312bus.sys。
一般来说,Temp目录下的文件都可以随意删除的,可是Yelfbaav.dl1是与进程关联在一起的,禁止删除。于是,我就一边关IE,一边在“命令提示符”窗口中删除的这个文件。
而312bus.sys,则是通过全盘搜索后,终于在D:\WINDOWS\ system32\drivers\打开了它,也将其删除。重启电脑后,天网防火墙上那可恶的TCP连接依然存在,看来问题还没解决!
杀毒软件先清理
平常我为了保留一些黑客软件,经常是关闭杀毒软件的文件监控功能,这次中了招,自然要先杀毒,结果杀到一个比较“郁闷”的文件C:\Windows\ system32\lasse.exe,如不仔细观察,还以为它是系统进程中的lsass.exe,将其清除。
我又习惯性地看了看天网,在应用程序网络状态栏中发现,iexplore.exe(IE进程)每隔几秒就自动访问北京电信的一个IP,显示为QQ的8000端口,看来还没清理完,继续!
隐藏服务也清除
现在应该看看是否有隐藏的服务在系统中,我们用的工具是命令行工具knlsc(下载地址:http://www.newhua.com/cfan/200601/knlsc13.zip)。它是个查找隐藏服务的小程序。可以显示多种隐藏的服务。而发现隐藏的服务后,可以使用本程序禁用它。
打开“命令提示符”窗口,进入knlsc解压缩目录,输入knlisc -f,出现了下面的信息。
C:\knlsc.exe-f
>Yelfbaav
Yelfbaav
[Driver] [Disabled][2005-09-04 03:27:23]
\??\C:\Windows\system32\ drivers\Yelfbaav.sys
Yelfbaav就是隐藏的服务,以驱动形式加载,极有隐蔽性。再用knlsc13.exe -cd Yelfbaav铃来禁用此服务,重新启动电脑后,用knlsc -f再查看,果然没有再发现隐藏服务。
本以为问题已经解决,可谁承想打开天网一看,怎么iexplore.exe进程还在不停地外连,而且直接用天网防火墙结束端口的时候就自动启动。看来问题还是没有解决。
认真分析解决问题
想了半天,利用天网的进程拦截功能,把iexplore.exe进程彻底停止外连,这样可以专心地分析下去。不过进程依然存在,刚启动的机器,IE都没打开呢,它就开了。关闭后,这个进程就立刻恢复。
我又试了Windows优化大师自带的工具WinProcess(下载地址:http://www.newhua.com/cfan/200601/winprocess.exe)继续分析,这个小东西功能很强大,可以详细显示进程列表和当前进程的详细信息,如模块信息、内存信息、设备驱动程序等。果然,在用了半个小时左右的时间,终于在模块信息中发现一些眉目,找到了C:\Windows\system32\下有Yelfbaav.DL1及Yelfbaav.D1L两个文件(见图)。
现在一共有三个文件要删除,C:\DOCUME~1\swap\LOCALS~1\Temp\Yelfbaav.DL1(又恢复了)、C:\Windows\system32\Yelfbaav.D1L及Yelfbaav.DL1,其中最难搞定的是Yelfbaav.D1L,总提示“拒绝访问”,于是找来了CopyLock(下载地址:http://www.newhua.com/cfan/200601/copylock.rar),这款软件可以让你替换,关闭系统正在使用的文件。把Yelfbaav.D1L往CopyLock软件窗口中一拽,这个世界清静了……
问题往往很简单
顺利干掉三个文件后,重启,一切正常,天网也不报警了,不过iexplore.exe却还依然开着,再次用knlsc查看了一次系统服务,这次命令换为knlsc -law,仔细查找,终于看到了服务名为dmserver的服务调用了%SystemRoot%\System32\Yelfbaav.d1l,于是用knlsc-cddmserver停止此服务,重启后问题解决。其实要是能早点发现这个服务,停掉它,不就一切太平了吗?
DLL和DL1大不同
拿出我们的骨灰级装备IceSword好好分析一下,启动组是一定没有陌生进程的,果然在IceSword的SSDT(系统服务描述列表)项下发现了几个可疑之处。包括C:\DOCUME~1\swap\LOCALS~1\Temp\Yelfbaav.DL1(注意显示为小写,但为了有所区别这里改为大写,下同)和312bus.sys。
一般来说,Temp目录下的文件都可以随意删除的,可是Yelfbaav.dl1是与进程关联在一起的,禁止删除。于是,我就一边关IE,一边在“命令提示符”窗口中删除的这个文件。
而312bus.sys,则是通过全盘搜索后,终于在D:\WINDOWS\ system32\drivers\打开了它,也将其删除。重启电脑后,天网防火墙上那可恶的TCP连接依然存在,看来问题还没解决!
杀毒软件先清理
平常我为了保留一些黑客软件,经常是关闭杀毒软件的文件监控功能,这次中了招,自然要先杀毒,结果杀到一个比较“郁闷”的文件C:\Windows\ system32\lasse.exe,如不仔细观察,还以为它是系统进程中的lsass.exe,将其清除。
我又习惯性地看了看天网,在应用程序网络状态栏中发现,iexplore.exe(IE进程)每隔几秒就自动访问北京电信的一个IP,显示为QQ的8000端口,看来还没清理完,继续!
隐藏服务也清除
现在应该看看是否有隐藏的服务在系统中,我们用的工具是命令行工具knlsc(下载地址:http://www.newhua.com/cfan/200601/knlsc13.zip)。它是个查找隐藏服务的小程序。可以显示多种隐藏的服务。而发现隐藏的服务后,可以使用本程序禁用它。
打开“命令提示符”窗口,进入knlsc解压缩目录,输入knlisc -f,出现了下面的信息。
C:\knlsc.exe-f
>Yelfbaav
Yelfbaav
[Driver] [Disabled][2005-09-04 03:27:23]
\??\C:\Windows\system32\ drivers\Yelfbaav.sys
Yelfbaav就是隐藏的服务,以驱动形式加载,极有隐蔽性。再用knlsc13.exe -cd Yelfbaav铃来禁用此服务,重新启动电脑后,用knlsc -f再查看,果然没有再发现隐藏服务。
本以为问题已经解决,可谁承想打开天网一看,怎么iexplore.exe进程还在不停地外连,而且直接用天网防火墙结束端口的时候就自动启动。看来问题还是没有解决。
认真分析解决问题
想了半天,利用天网的进程拦截功能,把iexplore.exe进程彻底停止外连,这样可以专心地分析下去。不过进程依然存在,刚启动的机器,IE都没打开呢,它就开了。关闭后,这个进程就立刻恢复。
我又试了Windows优化大师自带的工具WinProcess(下载地址:http://www.newhua.com/cfan/200601/winprocess.exe)继续分析,这个小东西功能很强大,可以详细显示进程列表和当前进程的详细信息,如模块信息、内存信息、设备驱动程序等。果然,在用了半个小时左右的时间,终于在模块信息中发现一些眉目,找到了C:\Windows\system32\下有Yelfbaav.DL1及Yelfbaav.D1L两个文件(见图)。
现在一共有三个文件要删除,C:\DOCUME~1\swap\LOCALS~1\Temp\Yelfbaav.DL1(又恢复了)、C:\Windows\system32\Yelfbaav.D1L及Yelfbaav.DL1,其中最难搞定的是Yelfbaav.D1L,总提示“拒绝访问”,于是找来了CopyLock(下载地址:http://www.newhua.com/cfan/200601/copylock.rar),这款软件可以让你替换,关闭系统正在使用的文件。把Yelfbaav.D1L往CopyLock软件窗口中一拽,这个世界清静了……
问题往往很简单
顺利干掉三个文件后,重启,一切正常,天网也不报警了,不过iexplore.exe却还依然开着,再次用knlsc查看了一次系统服务,这次命令换为knlsc -law,仔细查找,终于看到了服务名为dmserver的服务调用了%SystemRoot%\System32\Yelfbaav.d1l,于是用knlsc-cddmserver停止此服务,重启后问题解决。其实要是能早点发现这个服务,停掉它,不就一切太平了吗?