揭开木马的神秘面纱4.htm

可以对黑客编程有一定的了解

&nbsp;&nbsp;&nbsp; {<br>
　&nbsp;&nbsp;&nbsp; case DLL_PROCESS_ATTACH:<br>
　 &nbsp;&nbsp;&nbsp; {<br>
　　&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; //获取当前进程ID<br>
　　&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; _itoa ( GetCurrentProcessId(), 
szProcessId, 10 );<br>
　　&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; MessageBox ( NULL, szProcessId, 
&quot;RemoteDLL&quot;, MB_OK );<br>
　 &nbsp;&nbsp;&nbsp; }<br>
　&nbsp;&nbsp;&nbsp; default: return TRUE;<br>
&nbsp;&nbsp;&nbsp; }<br>
}</p>
<p>&nbsp;&nbsp;&nbsp; 当我使用RmtDll.exe程序将这个TestDLL.dll嵌入Explorer.exe进程后（PID=1208），该测试DLL弹出了1208字样的确认框，同时使用PS工具也能看到<br>
<br>
Process ID: 1116　　　　<br>
C:\WINNT\Explorer.exe (0x00400000)<br>
　　 ……<br>
　　　 C:\TestDLL.dll (0x10000000)<br>
　 ……<br>
这证明TestDLL.dll已经在Explorer.exe进程内正确地运行了。</p>
<p>&nbsp;&nbsp;&nbsp; 无论是使用特洛伊DLL还是使用远程线程，都是让木马的核心代码运行于别的进程的内存空间，这样不仅能很好地隐藏自己，也能更好的保护自己。<br>
&nbsp;&nbsp;&nbsp; 
这个时候，我们可以说已经实现了一个真正意义上的木马，它不仅欺骗、进入你的计算机，甚至进入了进程的内部，从某种意义上说，这种木马已经具备了病毒的很多特性，例如隐藏和寄生（和宿主同生共死），如果有一天，出现了具备所有病毒特性的木马（不是指蠕虫，而是传统意义上的寄生病毒），我想我并不会感到奇怪，倒会疑问这一天为什么这么迟才到来。</p>
<p align="left"><b>DLL木马的查杀</b><br>
&nbsp;&nbsp;&nbsp; 要是我的这篇文章到此结束，那么就变成了DLL木马编写教学了:P，其实我们了解DLL木马原理的最终目的还是为了更好的防御它，所以，让我们来讨论一下DLL木马的查杀。<br>
&nbsp;&nbsp;&nbsp; DLL木马对于进程管理器来说是隐藏的，所以我们既不能用进程管理器来查找，也无法直接将它停止运行，假设DLL木马嵌在Explorer.exe这样的进程我们还能直接将宿主进程杀掉，但是如果木马通过提升权限等方法进入了inetinfo.exe这样的系统进程（IIS），那么即使是管理员，也不能直接终止木马的运行。（在NT中，系统进程不能被直接kill）。因此，我们不能指望NT自带的进程管理器了，需要使用一些附加的工具。</p>
<p><br>
一、 进程/内存模块查看器：<br>
&nbsp;&nbsp;&nbsp; 为了能发现DLL木马，我们必须能查看内存中运行的DLL模块（记得么？DLL木马运行在已有的进程内），前面说了，在Windows下查看进程/内存模块的方法很多，有PSAPI、PDH和ToolHelper 
API。我用PSAPI写了一个这样的工具，补天的雏鹰用PDH写了一个更加强大的进程查看器，支持查看远程主机状况（知道系统管理员密码的情况下），希望早日整理发布。<br>
PS工具可以在以下地址下载到：<br>
http://www.patching.net/shotgun/ps.zip<br>
实际上，由于Windows系统的复杂性，即使有了上面的工具，查找DLL木马仍然是非常艰难的，只有非常了解系统结构的管理员才能从无数的DLL文件中找到异常的那一个，所以，平时使用PS工具备份一个DLL文件列表会比较有帮助，方法很简单，ps.exe 
/a /m &gt;ps.log。<br>
<br>
二、 端口进程关联软件：<br>
&nbsp;&nbsp;&nbsp; 
关联端口和进程的软件也是重要的工具之一，虽然DLL木马隐藏在其他进程中，但是多多少少会有一些异常，功能强大的Fport就是一个优秀的进程端口关联软件，可以在以下地址下载到：（我自己同样写了一个，但是没有Fport好用，所以就不拿出来献丑了，呵呵）<br>
http://www.foundstone.com/rdlabs/termsofuse.php?filename=FPortNG.zip<br>
<br>
<br>
三、 嗅探器：<br>
&nbsp;&nbsp;&nbsp; 
嗅探器帮助我们发现异常的网络通讯，从而引起我们的警惕和关注，嗅探器的原理很简单，通过将网卡设为混杂模式就可以接受所有的IP报文，嗅探程序可以从中选择值得关注的部分进行分析，剩下的无非是按照RFC文档对协议进行解码。在补天的主页上我放置了一个WIN2K下的命令行嗅探器，任何有兴趣的朋友都可以去下载源码并改写成自己需要的工具：<br>
代码及头文件： http://www.patching.net/shotgun/GUNiffer.zip<br>
编译后的程序： http://www.patching.net/shotgun/GUNiffer.exe<br>
<br>
四、 注册表保护软件：<br>
&nbsp;&nbsp;&nbsp; 可以想象，DLL木马仍然会继续利用注册表来启动自己（在Windows中到哪里去找一个比注册表更复杂、更适合木马隐藏的地方呢？）不同的是，DLL木马不仅仅局限于Run、Runonce这些众所周知的子键，而是拥有更多的选择。例如对于特洛伊DLL来说，KnownDLLs子键就是再好不过的藏身之处，在注册表的HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session 
Manager\KnownDLLs子键下，存放着一些已知DLL的默认路径，假设DLL木马修改或增加了某个键值，那么木马DLL就可以无声无息地在进程加载知名DLL的时候取代原本的DLL文件进入进程。注册表保护的软件非常多，Lockdown2000就内置这样的功能，另外，SysInternals的Regmon也很不错，下载地址：<br>
http://www.nttoolbox.com/public/tools/ntregmon.zip<br>
<br>
五、 文件保护：<br>
&nbsp;&nbsp;&nbsp; 除了注册表，文件也是DLL木马的启动工具，利用Appname.local 
文件进行的DLL转移就可以顺利替换任何应用程序启动时加载的默认DLL，特洛伊DLL更是层出不穷，同样是SysInternals出品的Filemon可以担当文件保护的重则：<br>
http://www.nttoolbox.com/public/tools/ntfilmon.zip<br>
<br>
&nbsp;&nbsp;&nbsp; DLL木马的查杀非常复杂，并不是一天两天能够掌握的，目前补天公司也正在进行相关防御软件的开发，希望很快能为大家提供一个简单快捷的解决方案。</p>
<p>&nbsp;&nbsp;&nbsp; 最后，感谢西祠的Lion Hook在DLL文件操作上对我的指导，同时也感谢补天的abu、yagami、eyas、sztwww、大鹰、大皮球和其他兄弟们跟我一起讨论隐藏进程的技术，让我学到了很多的东西。</p>