我们在程序中执行的各项操作，将会被自动记录下来，大家在“柳叶日志”中可以查看（图4）。

图 4

揭露进程伪装术

木马伪装技术的发展可谓日新月异，由进程隐藏到进程插入，使得在查杀方面越来越难以应付了。一般具有进程插入功能的木马会把自身注入其它应用程序的地址空间，而这个应用程序对于系统来说，是一个绝对安全的程序。

即使我们查找出了DLL插入进程，如果它是嵌入在系统基本进程中的，如“svchost.exe”等进程，我们是无法结束其运行的。

下面，将以实例演示一下线程插入类后门是如何在机器上运行的。我们以目前比较流行的“Devil4.exe”（魔鬼4号）程序为例。

运行“EditDevil4.exe”配置程序后，在显示界面中设置“配置文件”（即需要在目标上激活的可执行文件）、端口（可自定义，本例中为9000）、密码及插入进程（一般设置为系统基本进程，本例中为Explorer.exe）（图5）。配置完毕后，执行确认操作，使其生效。

图 5

一旦目标机器激活了配置好的程序，“Devil4.exe”将立即插入至指定进程中。我们可使用“fport v2.0”这款系统工具查看所有开放的TCP和UDP端口，并显示相应的应用程序（支持WinNT4/2000/XP）。运行“命令提示符”后，进入fport程序的存储路径，运行它。

大家注意查看其中的“Explorer.exe”进程，看到其TCP协议开放端口为适才笔者所定制9000端口，此时表明病毒进程插入成功（图6）。“Devil4.exe”后门本身具有删除程序，运行“DelDevil4.exe”程序后，就可清除驻留系统中的后门。

图 6

小提示：如果大家要封杀可疑端口，可以使用Active Ports及DBPort之类的第三方端口工具。这两款软件均是图形化界面，操作方法非常类似。不仅可自动刷新进程，还能够立即关闭指定端口。对于线程插入类木马的查杀，并非一件轻而易举的事，由于在配置插入进程时使用者可随意指定，因此，大家一定要安装杀毒软件并定期升级病毒库。

标签：