简单反查黑客远程控制/后门的方法（二）

楼主^#

更多发布于：2013-03-21 12:50

[] 1


	3.此时捕捉到正在连接的状态的最后一行PID值为：3920，这就是我们说的远控至少与目标建立一个TCP或UDP连接，而这里建立了一个TCP连接，并且仔细看下，“Foregin Address”意思是外网地址，这个IP地址可以百度进行查询下就可以知道是哪个地区的人在控制我们的电脑，再仔细看下IP地址后面的端口为：8000，现在很多主流的远程软件都是8000或者80端口，这又更值得怀疑了。这样我们就可以查看进程，因为木马要想进行连接就必定会在内存中进行运行，否则就无法进行连接了，我们查看内存中可疑的进程，上面捕获的连接PID为：3920。我们输入命令“tasklist /svc“这条命令是查看当前进程与PID值和启动的服务。图片：20130321124035583.jpg 4.通过上面的命令找到了网络连接对应的PID值进程3920，并且发现该进程名是一个IE的进程，很明显这就有问题，因为我们根本没打开浏览器，何来IE进程呢？果断的就知道它的一个远程控制木马伪装的进程。我们应该马上去进行一个查杀掉该进程，从内存中干掉它。我们输入命令“taskkill /f /pid 3920” 这条命令是强制结束PID值为3920的进程。当我们强制结束掉了木马之后发现主控端远程控制软件上的肉鸡马上就下线了。这样黑客就无法进行控制了。图片：20130321124035787.jpg 5.在这里说明，我们只是暂时现在已经让黑客无法控制我们的电脑，结束了它的远程控制的连接程序。但是我们要知道远程控制的第二个通性，就是远程控制软件为了让对方能够重启系统后继续在黑客的远控软件上面上线，就必须会在被控者的电脑上写入一个随机启动项，这个随机启动项就是当系统启动的时候立马运行木马，运行了木马就可以再次上线。所以我们还需要检测我们的启动项。很多启动项都是写入注册表的，我们这里给大家列出一些木马可能写入的启动键值。 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon 下的shell键值 HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows 下的load键值以上是我们列举出的木马可能会存在自启动的注册表键值，其中第一个可以通过运行“msconfig”看到的。经过我们的仔细查看了所有存在可能的随机启动项发现没有任何异常，此时我们就要注意，是否是以服务的方式启动呢？下面我们就去检查可以的服务，经过多次对服务的分析，我们查看到有一个名字为“Rising RavTask Manage.”的进程可疑，因为过它的启动程序是藏在“C:\WINDOWS\Rising\svchot.exe"的程序，看过我前面的技术文章《Svchost.exe进程的分析》就一下能判断出这就是伪装类似svchost文件，我们找到该目录后就会发现该文件还是个系统隐藏的文件，那就更可疑了，一个程序还设置为系统隐藏！可疑！正常情况下除去系统重要文件会隐藏，如果你对系统有足够的了解，看的出非系统文件居然隐藏！绝对是很可疑的，这时候可以百度下这个文件！！图片：20130321124036968.jpg 6.在CMD下切换到该目录下进程一个强制删除吧，切换到目录后输入命令“del /ah /f svchot.exe “ 就可以强制删除隐藏的木马了。图片：20130321124036970.jpg 7.此时我们把隐藏的以服务启动的木马干掉了，你可以去停止服务，或者通过sc delete 去删除服务，这里就不多讲了，因为服务启动的木马已经被干掉了，即使服务存在也无法找到启动程序了。我们这里将虚拟机重启下，再查看下网络连接是否还会与黑客建立TCP远程控制连接呢？图片：20130321124037901.jpg