TrojanHunter如何应对寄生型木马BEAST【翻译】及Trojan Hunter简介

Trojan Hunter长期占据各大测评榜的第一、二位，是世界顶级监测、杀查木马和广告软件，诞生以来在欧洲好评如潮。这是一款比Ewido、Webroot 、Lavasoft等功能更强大的杀马工具（占用资源很少的前提下），可惜打击盗版力度太大，一直都是注册码难求。
         现在杀木马软件很多，如AVG Anti-spyware、Webroot Spy Sweeper以及Lavasoft AD-adware，都很不错，但是在国外技术界，公认最强的是FDS-3和Trojan Hunter。只是因为FDS-3不支持亚洲字符的Windows操作系统，所以目前对中国用户来讲最好的查杀木马软件非Trojan Hunter莫属。Trojan Hunter可以有效地检测出多形态和进程注入式木马，这些甚至完全不能被像诺顿和AVG等杀毒软件所查杀。
2.TrojanHunter程序运行可以自己添加木马定义和探测规则，内置高级木马分析工具，采用高速引擎，查杀速度快，范围广，全面保护你的网络安全。
3.目前没有官方中文版

呵呵，这是Trojan Hunter官方网站的一篇文章，比较清楚的介绍了一种寄生型木马的运行机制，以及Trojan Hunter如何清除该木马，翻译一下，希望大家多多指正


官方网站http://www.misec.net/


官方下载地址http://www.misec.net/products/TrojanHunterSetup.exe

原文出处http://www.misec.net/papers/thvsbeast/
2楼是翻译
3、4楼是简单的介绍，由于条件所限，无法进行样本等的测评，这款软件的优劣还需要大家进一步的使用和探讨。

[ 本帖最后由 柳如斯 于 2008-12-29 14:25 编辑 ]

TrojanHunter vs. the Parasitic Beast Trojan

Trojan Hunter大战寄宿型木马“野兽”

The Beast - Employing Modern Stealth Techniques

“野兽”，采用新型隐藏方式的木马

The Beast is a relatively new trojan which in recent versions has used more advanced techniques to make itself undetectable from trojan and virus scanners. The latest technique employed makes the trojan parasitic, because it injects its code into other processes running on the system. For this purpose, the trojan uses a DLL file named dxgns.dll.

野兽是近来采用更多高级隐藏技术以使得自身无法被防病毒&防木马软件侦测到的新型木马。因为其将自身代码注入到系统其他进程，该木马具有了寄生性，为了达到该目的，该木马用到了一个名为dxgns.dll的dll文件。

To study this trojan, let's see what happens when it is run on a typical Windows XP Home system. A quick analysis after starting the trojan reveals that it injects itself into the following two processes: winlogon.exe and explorer.exe. These two processes are always present on a Windows XP system (in fact they are present on any NT-based system), which is why the trojan injects itself into those processes. You can see from the screenshots below that the injected trojan library is running inside the infected processes.

为了研究该木马，我们来看看它是如何在常见的xp系统上运行的。快速分析后我们发现，该木马把自身进程注入到这两个进程中：winlogon.exe和explorer.exe。这两个进程是xp系统中的常见进程（事实上，在所有NT内核的系统中都可以看到这两个进程），这也是为什么该木马要把自己注入这两个进程的原因。我们来看下面的截图

     

Process Injection - A Dangerous New Trend
Recent trojans have begun using process injection to a greater extent. Several factors make this technique dangerous: 
The trojan is not visible in traditional process viewers, including Windows Task Manager 
Most trojan and virus scanners have a very hard time detecting the running trojan code 
The trojan code is very difficult to unload
进程注入：一个危险的趋势

新近的木马越来越多的用到进程注入的方式，许多事实表明，该技术具有很大的危险性：

木马进程是隐藏的，无法被诸如windwos任务管理器等进程查看器发现

绝大多数反病毒&反木马软件很难发现运行的木马代码

木马的代码很难被清除

How TrojanHunter Cleans the Trojan
TrojanHunter is the only trojan scanner on the market that is able to clean parasitic trojans. Other scanners will leave the user stranded or might even incorrectly kill the legitimate host processes, with devastating effects as a result (terminating winlogon.exe will crash the operating system). TrojanHunter cleans parasitic trojans by actually working inside the infected process to kill all trojan threads and then unload the loaded trojan libraries. After this, the trojan library can safely be cleaned by TrojanHunter as with any other trojan file, while the previsouly infected process can continue executing as if nothing had happened. 

The screenshot below shows TrojanHunter diasbling the Beast trojan. Note that no reboot is necessary. Other trojan scanners would either not have detected the trojan, or, if detected, wouldn't have been able to clean the trojan - leaving the user with little choice but to reformat or hire an expensive computer technician to remove the trojan from the system.

Trojan Hunter如何清除该木马

Trojan Hunter是市面上唯一可以清除寄生型木马的反木马软件。（PS：王婆卖瓜，自卖自夸），其他反木马软件在处理寄生型木马的时候可能会使使用者感到无助甚至会不正确的结束宿主进程，从而带来破坏性的后果（结束winlogon.exe会导致系统崩溃），而Trojan Hunter可以在分析被感染进程的信息后，清除木马注入的代码，从而安全的删除该木马，保证先前被感染的进程别来无恙。

下面的截图展示了Trojan Hunter如何废掉了beast木马，请注意，重新启动是必须的。其他反病毒软件无法侦测，或者即使能够侦测，也无法完美清除该木马，导致用户无奈的格式化或掏腰包请专业技术人员来清除该木马（超级王婆！）

[ 本帖最后由 柳如斯 于 2008-12-29 11:23 编辑 ]

现在介绍一下这个王婆，Trojan Hunter

安装完之后重启，主要是两个进程，一个是guard，一个是scanner


guard的设置很简单，右下角单击






下面介绍scanner的主界面，很清晰















这个是选项界面，也不复杂




资源占用，因电脑而异吧







升级界面，升级方法在http://bbs.kafan.cn/viewthread.php?tid=289021&highlight=Trojan%2BHunter


[ 本帖最后由 柳如斯 于 2008-12-29 13:33 编辑 ]

继续介绍，还是在scanner里。进入高级模式后有更多设置，增加了ruleset，plugin和自定义扫描



在tools工具栏，我们看到了二楼王婆卖瓜的界面，有进程管理器，自启动项目查看和网络连接统计情况




进程管理器不温不火，可以结束进程和查看已加载的模块，并移去该模块



右键点进程可以结束该进程


也可以查看已加载模块，并移去



这个autostart explorer查看启动信息很全面，不错，包括了注册表启动、文件夹、ini文件启动等等



netstat viwer可以查看当前网络连接



而plugin菜单里的很多功能貌似还是扫描。。。。


[ 本帖最后由 柳如斯 于 2008-12-29 14:29 编辑 ]

小结，以上是对Trojan Hunter官网一篇文章的翻译，以及简单的介绍，由于条件所限，也不能进行简单的测评，简单的说，它是具有监控和扫描功能的一款反木马软件，同时他的进程查看器对于具备丰富经验的老鸟可以作为一款手工清除的辅助工具，但是和冰刃等相比还是不够全面。


简单的界面，不复杂的英文，以及论坛里就可以找到的PJ，让大家又多了一款选择

王婆的瓜怎么样，还得大家尝一尝才知道，正所谓不赚买卖，赚吆喝，希望大家多多指正吧

[ 本帖最后由 柳如斯 于 2008-12-29 14:22 编辑 ]

秘书

支持下

月影花痕

小柳同学，翻译滴不错嘛！

想念天堂

很喜欢这个软件，不过目前没有什么比较完美的升级方法

一凡

翻译的不错

wsmy97119

看到鸟语的就烦