使用服务清理DLL插入类型特洛伊木马程序
前两天有个朋友服务器是马,可能是服务器系统也被植入人的马,一个朋友对木马调查的艰巨的任务给我。最后,服务器上的木马程序被成功删除手动工具(如工艺不当时,记录以下操作通过虚拟机技术,建立了环境模拟的木马的全过程)。首先,一种扫描杀毒软件服务器版本后,没有发现木马,但这不能确定服务器没有被植入木马病毒,然后查看进程,没有可疑进程,看过程只能处理在木马的过程中没有插入。最好的办法是检查故障端口,人2网站访问非常少,简单地关闭IIS,和所有可能的程序的网络连接,通过冰刃的1.22视图,80端口打开连接,IIS已被关闭,服务器没有访问任何网站,80端口可能是木马图1外部连接。
图1
很明显,Svchost.exe进程打开的80端口,这更加可疑。它甚至可以决定一个DLL木马插入Svchost.exe进程,对一个模块的身份运行。
我很高兴,在那之前,我经常问我的朋友加载模块备份服务器上的快照,可在这个时候,我们可以很快的通过这些快照发现可疑加载DLL模块。在这里说一下如何创建加载模块快照过程;操作;型msinfo32.exe,其次是电影打开了一个窗口,然后在下面的方式选择下拉菜单的左侧的软件;;模块;负荷;你可以看到,所有进程模块的加载,如图2所示
图2
然后单击名称,这样列表就按名称排列,这样便于将来的控制。
然后在顶部的下拉菜单中选择文件;导出,将当前列表导出为文本文件。由于服务器配置完成后,很少有其他软件的安装,和当前的配置是很少改变,所以这些加载模块的名称一般是不变的。你也可以查看模块文件创建日期的信息在这里,一个相对强大的隐藏的木马,一般在安装的时候会把自己变成一个早日期的文件,所以当创建信息在视图文件中也没有看到可疑信息。
然后取出模块的快照,一个朋友以前备份并与当前比较,发现一个可疑的模块命名iasex,图3。
图3
用记事本记录模块的名称,在Windows任务管理器的文件搜索,没有找到任何文件,这是一个很常见的情况,现在的木马都很难,不是那么容易找到的,肯定不会这么轻易的放弃,然后利用Frostsaber查看所有文件system32目录最后找到一个文件名为iasex.dll,如图4所示
图4
这个文件是不是在资源管理器中找到。但可以确定的是,这是加载的模块的对比。然后将该文件复制出来。为了进一步确认到底这个文件是不是木马,可以用来查看打开的Frostsaber港80 Svchost.exe加载模块,文件搜索过程:首先在冰刃记录在端口80上的Svchost.exe进程ID(图1,ID是820,那么过程)看到视图ID 820冰刃的过程,图5
最后,在模块信息中发现了一个非常可疑的模块信息。图6
图6
看到一个1038953.bak,然后点击模块的鼠标右键弹出一个列表的副本的选项,复制模块,文件比较的工具,将前面的iasex.dll复制和文件比较,发现两个文件相同的文件,毫无疑问,这只是外部文件连接木马文件。为什么这个文件直接在怀疑,原因很简单,我们看到的文件只是基础模块0x10000000,根据以往的经验,正常模块的通用系统加载过程比0x50000000。
下一步是如何开始这个木马的调查核实,在注册表中所有的价值都是正常的,和其他一些木马会启动位置,一些ActiveX的开始,也是所有ActiveX的考察,最后决定启动服务是该木马,木马是目前最让开始开始木马在系统中的用户没有登录才可以在目标计算机上控制服务,风险很高。
你可以打开服务管理器来检查,这里是冰刃,使用更直观,我们可以缩小侦查范围所有svchost.exe启动的服务,和进程ID为820的Svchost.exe,终于发现了一个奇怪的木马可以说是启动服务,因为其他的过程id820服务我熟悉的服务,图7
图7
之后,我们停止服务,重新启动服务器并查看端口。我们找不到一个开放的80端口。最后,我们决定这是启动特洛伊木马的服务。