查看: 36020|回复: 181
收起左侧

掀起你的盖头来:手工实战Rootkit木马

[复制链接]
曲中求
发表于 2009-1-18 18:35:04 | 显示全部楼层 |阅读模式
掀起你的盖头来:手工实战Rootkit木马


——此教程献给所有的卡饭论坛成员,祝大家在牛年健康平安,百事可乐,牛气冲天!


前言


样本地址:http://bbs.kafan.cn/thread-408416-1-2.html
对象:普通大众用户
目的:解决大家在日常清除恶意程序时遇到的典型困难之一:恶意程序运行Rootkit技术使用户无法打开一些比较主要的修复工具(非映像劫持技术,且此技术对Wsyscheck无效),也无法从普通的工具上看到系统运行的异常。一方面,希望此教程有肋于普通用户对Rootkit木马的了解,另一方面,也希望加强普通用户的动手能力和对修复工具的使用熟悉程度。所以在我们卡饭论坛的样本区里,选了一个比较合适的样本,做清除修复的典型实例,以供大家参考,那么,下面我们就开始吧!

样本原貌(关闭NDO 32运行样本,防止NOD 32对其查杀):
Snap0.png

一、恶意行为


屏蔽安全工具:表现为一旦此恶意程序运行,杀软无法正常安装,也无法正常运行,Wsyscheck、Icesword、RootKit Hook Analyzer等一系列的ring0级的修复工具无法运行,见图:

运行Wsyscheck出错:
Snap1.png

Snap2.png



运行RootKit Hook Analyzer也出错(冰刃和sreng假死无反应,不上图了)
Snap3.png




安全模式被破坏:通过注册表中安全模式相关键值的破坏,如果开机按F8想进安全模式,则会出现蓝屏。

普通工具查看不出任何异常:表现为系统自带管理器和CMD上无法看到病毒的隐藏进程,只见CPU占用忽高忽低,见图:
Snap3-1.png



下载木马:除了自身驱动级的保护以外,还会下载大量木马在系统中自动运行,这个后面用Wsyscheck修复时会看到。

二、修复工具


在修复工具上,主要使用三款目前使用也比较宽泛的软件,相信大家都是知道的,它们分别是:

超级巡警:主要用于Rootkit驱动检测,为什么用它?不选专门的一些anti-Rootkit工具?因为基本上ring 0级的anti-Rootkit专用工具全被屏蔽。

⒉XDelBoX:用于Rootkit驱动删除,可更安全的、更彻底并可抑制删除文件的再生,删除驱动级木马的不二选择。一来,如果是ring 0级的工具对其删除,那只有一个结果:蓝屏。二来,虽然Wsyscheck也有DOS删除功能,但此时已不能正常运行,于是Xdelbox便是最佳选择。

⒊Wsyscheck:这个我在我们论坛已经介绍过了,强大的删除能力(可抑制进程和文件的再生,也可对dll插入式木马进入全局卸载,更变态的是,可以锁定文件清0删除),全面的修复功能,是我修复工具的主力。

⒋Sreng:最后的注册表修复工作由它来完成。

三、清除实战


用超级巡警检测隐藏的驱动文件和服务

显而易见,此木马为了躲避安全工具的猎杀,首先要取得系统控制权,屏蔽其ring 0级的安全工具,但是很不幸的是,超级巡警的anti-Rootkit功能可将其驱动检测出来,我们先用超级巡警查看一下是否有异常的隐藏驱动服务,见图:
Snap4.png


用XDelBox进行驱动文件删除
用超级巡警定位文件,然后拖到XDelBox里
Snap5.png

Snap6.png


用Wsyscheck全面修复

这步完成之后,Wsyscheck就正式登场了,我们打开Wsyscheck正式全面修复清理(由于考虑到篇幅问题,所以不对其无需修复的功能进行介绍,只对其恶意程序修改的地方介绍):

打开Wsyscheck进行设置,这里主要讲一下两个重要选项:
⑴“禁止进程与文件创建”:这个是抑制进程和文件再生功能,推荐在做清除工作时选上。
⑵“删除文件后锁定”:这个就是把文件体积清除为0KB,就是把它变成尸体,等Wsyscheck一退出,这些文件也跟着消失,一个字:狠!如果有出现强制删除都不行的时候,这个相信是你的得力助手。

首先清理进程和文件,查看第三方的恶意进程和文件(深红色)和dll插入式木马的情况(粉红色),然后根据情况进行相应的处理(恶意的深红色的独立进程可全部选中,一次性结束进程及相关文件,dll全局插入的[也就是所有的系统进程都插入了同样的恶意dll],可同时一次性全局卸载),后面的操作在图中已有说明,请大家参考图片文字部分,故不再多言。见图:
Snap7.png

Snap8.png

Snap8-2.png

Snap9.png

Snap10.png

Snap11.png

Snap12.png
Snap13.png



用Sreng修复注册表
经过Wsyscheck每一个功能的检测,只发现上述图片中的部分功能需要操作一下,不需要修复的地方,考虑到篇幅,就不贴出了。那么,最后,用Sreng进行注册表相关错误键值进行全面修复一次就OK了,见图:
Snap14.png




这个木马已经被大多数的杀软所查杀,NOD 32可对其本体和所有下载下来的所有变种木马进行剿杀,我们可对修复工作的结果做一个小小的检测:
Snap15.png


结语


到这里,全面的修复工作已经结束,前面差不多5分钟左右就可以了,是不是比扫描快很多?手工修复其实很简单,只要经常动手,经常操作,那么随着熟练度的提高,其所用时间会越来越短。Rootkit猎杀只是广大用户在手工修复时遇到的有点棘手的问题之一,另一个棘手的问题——多重性病毒的修复方法将在下一篇教程中展现,希望通过两篇手工修复系统的教程,可以给广大的普通用户在自己动手修复时,提供一种思路,在完善技巧的同时完善自己的熟悉程度,希望此教程略有帮助,仅供参考,感谢大家!

教程PDF文件下载: 手工实战Rootkit木马.pdf (806.76 KB, 下载次数: 983)

评分

参与人数 6经验 +40 魅力 +1 人气 +5 收起 理由
wolfwalk888 + 1 曲版也很XE
tawny2008 + 1 行动支持你
yueming9712 + 1 原创内容
於陵闲云 + 1 加点人气
danger + 1 强就是一个字

查看全部评分

wxb1994
头像被屏蔽
发表于 2009-1-18 18:47:24 | 显示全部楼层
哎呀

太感谢了,这么详细

辛苦了,呵呵
小v可
发表于 2009-1-18 18:52:04 | 显示全部楼层
学习了很多东西!
1e3e
头像被屏蔽
发表于 2009-1-18 18:52:30 | 显示全部楼层
提供的样本,我很想知道完整的控制是怎么样的,另外所有rootkit都适应这个教程吗?
曲中求
 楼主| 发表于 2009-1-18 18:53:15 | 显示全部楼层
楼上两位真是神速。。。呵呵。

继续做普及工作ing。。。
曲中求
 楼主| 发表于 2009-1-18 18:56:10 | 显示全部楼层

回复 4楼 1e3e 的帖子

NO,这个教程是Rootkit木马的实例之一,展现的是手动操作的其中一个思路。恶意程序如果是同种类型的,在行为上可以说大致相同,但不一定会完全一样。

实例展示的是,在中毒后的修复步骤和思路,如果想知道病毒的完全的行为,可去:http://www.threatexpert.com/,或者是用其它工具复现。
黄金马甲出租
发表于 2009-1-18 19:11:44 | 显示全部楼层
这东西隐藏的技术很高明,自保的技术就一般了,process explorer就把它搞定了
曲中求
 楼主| 发表于 2009-1-18 19:17:37 | 显示全部楼层

回复 7楼 黄金马甲出租 的帖子

说得不错,其实自保的话,什么技术都一般,呵呵,只要找出来,它就死定了。
缘尽于此
发表于 2009-1-18 19:40:32 | 显示全部楼层
不错的帖子,学习了
405942873
发表于 2009-1-18 19:40:51 | 显示全部楼层
只要找出的病毒那几个源文件... 啥技术都是白说
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-25 00:40 , Processed in 0.143608 second(s), 20 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表