| 隐蔽的广外幽灵 |
|
2002-01-25·
·maldinilbx··天极e企业
|
上一页 1 2 3 4 下一页 既然优化大师没有找到它的进程,那么它真的在后台运行吗?我马上转到windows\system目录下,尝试把GST00.TMP、SCANREGW.EXE删除,然而windows却提示说源文件正在被使用,这个提示很明显说明了文件正在被调用。
虽然windows优化大师内置的“进程管理工具”无法查看该木马的进程,我还是不死心,马上想到了TCA(著名的反木马工具The Cleaner附带的活动程序监视器TCACTIVE)。windows优化大师采用的是静态进程管理,当启动新进程时,需要刷新才能显示新增加的进程;相比之下,TCA采用的动态进程管理更能体现其优越性,当启动新进程时,自动会添加到TCA的进程列表中而无须用户手动干预(图四中的“NOTEPAD”记事本进程);当进程终止,其进程名称也自动在TCA的进程列表中消失。
此时,我先清除该木马,重启计算机,打开TCA监视器,再一次双击木马运行,然后紧紧盯着屏幕。经近10分钟的观察,TCA的进程列表中始终没有新进程显示。
(图四)
至此,我百分之百相信这个木马是不会被进程软件捕获的了。可以躲避进程软件查看的木马我是第一次见到,这个木马在隐蔽性方面做得很好。
躲开进程软件查看是“广外幽灵”的一个“卖”点,那么它又是如何随机启动的呢?
木马需要随机启动才可以驻留内存,可以说它的随机启动也是极其隐蔽的。我加载木马以后,查看了system.ini、win.ini以及注册表的有关启动项目,均没有发现木马新增了的随机启动项目,那么它如何启动的呢?它靠什么启动呢?这次“广外幽灵”的随机启动做得很隐蔽,大家先看看(图五)和(图六)的红色框的部分。有没有发现不同之处呢?(图五)就是植入木马的系统随机启动程序列表,(图六)是正常的系统随机启动程序列表。可能大家已经发现了不同之处,就是"ScanRegistry"这里一项的SCANREGW.EXE,(图五)是在WINDOWS\SYSTEM目录下(指向木马),而(图六)是在WINDOWS目录下(指向正常的注册表检查程序)。
上一页 1 2 3 4 下一页 |
|
|
感谢
访问天极网,如果您觉得该文章涉及版权问题,请看这里!
|
