“哈哈,你可知道除了冰河這樣的***經常使用的隱身技術外,更新、更隱蔽的方法已經出現,這就是―驅動程序及動態鏈接庫技術。驅動程序及動態鏈接庫技術和一般的***不同,它基本上擺脫了原有的***模式―監聽端口,而採用替代系統功能的方法改寫驅動程序或動態鏈接庫。這樣做的結果是:系統中沒有增加新的文件所以不能用掃描的方法查殺、不需要打開新的端口所以不能用端口監視的方法進行查殺、沒有新的進程所以使用進程查看的方法發現不了它,也不能用kill進程的方法終止它的運行。在正常運行時***幾乎沒有任何的症狀,而一旦***的控制端向被控端發出特定的信息後,隱藏的程序就立即開始運作。此類***通過改寫vxd文件建立隱藏共享的***,甚是隱蔽,我們上面的那些方法根本不會對這類***起作用。
“可是前輩說的這種***晚生並沒有見到啊。”
笨蛋!你沒有見過,你怎麼知道我老人家也沒有見過?告訴你我已經看到了一個更加巧妙的***,它就是Share。運行Share***之前,我先把註冊表以及所有硬盤上的文件數量、結構用一個監控軟件DiskState記錄了起來,這個監控軟件使用128bit MD5的技術來捕獲所有文件的狀態,系統中的任何文件的變動都逃不過他的監視,這個軟件均會將它們一一指出。”
“前輩我這裏第一次運行Share後,系統好像沒有動靜,使用Dllshow(內存進程察看軟件)觀看內存進程,似乎也沒有太大的變化。一般***都會馬上在內存駐留的,或許此***修改了硬盤上的文件。”
“好,那麼你就接着用DiskState比較運行share.exe前後的記錄。”
“程序顯示windows\applog裏面的目錄的一些文件和system.dat、user.dat文件起了變化,並沒有其他文件的增加和修改。”
“系統中的applog目錄裏面存放了所有應用程序函數和程序調用的情況,而system.dat和user.dat則是組冊表的組成文件。你把applog目錄裏面的share.lgc打開來觀看,它的調用過程是什麼?”
“調用過程如下:
c15625a0 92110 "C:\WINDOWS\SYSTEM\OLEAUT32.DLL"
c1561d40 c1000 "C:\WINDOWS\SYSTEM\OLE32.DLL"
c1553520 6000 "C:\WINDOWS\SYSTEM\INDICDLL.DLL"
c15d4fd0 2623 "C:\WINDOWS\WIN.INI"
c15645b0 8000 "C:\WINDOWS\SYSTEM\SVRAPI.DLL"
c1554190 f000 "C:\WINDOWS\SYSTEM\MPR.DLL"
c154d180 a1207 "C:\WINDOWS\SYSTEM\USER.EXE"
c1555ef0 13000 "C:\WINDOWS\SYSTEM\MSNET32.DLL"
但是爲什麼前輩我們看不到MSWINSCK.OCX或WSOCK2.VXD的調用呢?如果***想要進行網絡通訊,是會使用一些socket調用的。”
“那麼接着你再觀察註冊表的變化。”
“好像在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Network\LanMan下面,多了幾個鍵值,分別是CJT_A$、CJT_C$、CJT_D$、CJT_E$、CJT_F$,其內部鍵值如下:
"Flags"=dword:00000302
"Type"=dword:00000000
"Path"="A:\\" 《-----路徑是A到F
"Parm2enc"=hex:
"Parm1enc"=hex:
"Remark"="***帝國"
”
“這就對了,然後你在瀏覽器的地址欄輸入\\111.111.111.1\CJT_C$。”
“啊!居然把我的C盤目錄文件顯示出來了。”
“現在你把CJT_C$改成matrix然後重啓計算機,接着在瀏覽器的地址欄輸入\\111.111.111.1\matrix。”
“前輩也顯示C盤目錄文件了,很奇怪的是,在我的電腦裏面硬盤看上去並沒有共享啊?”
“哈哈,那你再把"Flags"=dword:00000302的302改成402,reboot計算機。”
“嘻嘻,硬盤共享已顯示出來了。那麼如何防止這種***那?”
“哈哈哈哈,這種***只不過用了一個巧妙的方法隱藏起來而已。你現在把HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Network\LanMan下面的CJT_A$、CJT_C$、CJT_D$、CJT_E$、CJT_F$全部刪掉。如果你還放心不下,也可以把windows\system\下面的Vserver.vxd(Microsoft 網絡上的文件與打印機共享,虛擬設備驅動程序)刪掉,再把[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\下的VSERVER鍵值刪掉。這樣就可以了。另外,對於驅動程序/動態鏈接庫***,有一種方法可以試試,使用Windows的〖系統文件檢查器〗,通過〖開始菜單〗-〖程序〗-〖附件〗-〖系統工具〗-〖系統信息〗-〖工具〗可以運行〖系統文件檢查器〗,用〖系統文件檢查器〗可檢測操作系統文件的完整性,如果這些文件損壞,檢查器可以將其還原,檢查器還可以從安裝盤中解壓縮已壓縮的文件。如果你的驅動程序或動態鏈接庫在你沒有升級它們的情況下被改動了,就有可能是***,提取改動過的文件可以保證你的系統安全和穩定。”
六
“此外很多人中***都會採用如下手段:
1.先跟你套近乎,冒充成漂亮的美眉或者其他的能讓你輕信的人,然後想方設法的騙你點他發給你的***。
2.把***用工具和其它的軟件捆綁在一起,然後在對文件名字進行修改,然後修改圖標,利用這些虛假的僞裝欺騙麻痹大意的人。
3.另外一種方法就是把***僞裝好後,放在軟件下載站中,着收漁翁之利。
所以我這裏提醒你一些常見的問題,首先是不要隨便從小的個人網站上下載軟件,要下也要到比較有名、比較有信譽的站點,通常這些網站的軟件比較安全。其次不要過於相信別人,不能隨便運行別人給的軟件。而且要經常檢查自己的系統文件、註冊表、端口等,而且多注意些安全方面的信息。再者就是改掉windows關於隱藏文件後綴名的默認設置,這樣可以讓我們看清楚文件真正的後綴名字。最後要提醒你的是,如果有一天你突然發現自己的計算機硬盤莫名其妙的工作,或者在沒有打開任何連接的情況下,貓還在眨眼睛,就立刻斷線,進行***的搜索。”