3.2.2 白金遠(yuǎn)控木馬的查殺

信息安全攻防技術(shù)3.2.2白金遠(yuǎn)控木馬的查殺該類木馬的查殺方案一般有兩種：一種是利用殺毒軟件，如360安全衛(wèi)士、卡巴斯基等，該方案操作簡單，不需要太多的網(wǎng)絡(luò)基礎(chǔ)，非常適用于常規(guī)的計算機(jī)用戶；另一種是手工查殺，比較適用于專業(yè)的網(wǎng)絡(luò)管理員，對清除頑固性木馬相當(dāng)有效。此處介紹第二種方案。3.2基于木馬的遠(yuǎn)程控制攻擊與查殺演示環(huán)境：被植入遠(yuǎn)程控制木馬的Windows7或Windows8操作系統(tǒng)主機(jī)，此處以Windows7操作系統(tǒng)主機(jī)為例。演示工具：無。操作概要：①查看端口的連接情況，發(fā)現(xiàn)木馬痕跡；②關(guān)閉木馬程序使用的端口；③查看服務(wù)情況，禁用可疑服務(wù)；④根據(jù)可疑服務(wù)查找并刪除可疑文件；⑤檢查注冊表，刪除可疑服務(wù)的鍵值。操作步驟：STEP01：查看端口的連接情況。當(dāng)網(wǎng)絡(luò)管理員發(fā)現(xiàn)計算機(jī)有異常時，可以在DOS命令行模式下輸入netstat命令查看端口的連接情況。如下圖中的3-3-100-PC:9912號端口正是遠(yuǎn)程控制木馬使用的端口。由上圖可以發(fā)現(xiàn)：木馬程序是利用黑客主機(jī)的9912號端口與用戶計算機(jī)建立連接進(jìn)行通信的。因此，可以通過IP篩選器關(guān)閉木馬程序使用的端口，禁止用戶計算機(jī)與黑客主機(jī)的9912號端口通信。點(diǎn)擊開始菜單，在“運(yùn)行”窗口輸入“gpedit.msc”，打開“本地組策略編輯器”；選中“安全設(shè)置”下的“IP安全策略，在本地計算機(jī)”；在右欄空白處點(diǎn)擊右鍵，選擇“創(chuàng)建IP安全策略”；在彈出的“IP安全策略向?qū)А敝悬c(diǎn)擊“下一步”；為新的安全策略命名并進(jìn)行描述，點(diǎn)擊“下一步”；在“安全通信請求”對話框中取消“激活默認(rèn)相應(yīng)規(guī)則”前面的勾選，點(diǎn)擊“下一步”、“完成”按鈕，創(chuàng)建一個新的IP安全策略；在彈出的“屬性”對話框中，將“使用添加向?qū)А鼻懊娴墓催x取消，點(diǎn)擊“添加”按鈕添加新的規(guī)則；在“新規(guī)則屬性”對話框中點(diǎn)擊“添加”按鈕；在“IP篩選器列表”窗口命名篩選器，將“使用添加向?qū)А鼻懊娴墓催x取消，點(diǎn)擊“添加”按鈕；在“IP篩選器屬性”窗口的“地址”標(biāo)簽項(xiàng)選擇源地址為“任何IP地址”，目標(biāo)地址為“我的IP地址”，勾選“鏡像”選項(xiàng)；在“協(xié)議”標(biāo)簽項(xiàng)選擇“選擇協(xié)議類型”為“TCP”，在“從此端口”文本框中輸入“9912”，點(diǎn)擊“確定”按鈕；返回至“新規(guī)則屬性”對話框，在“篩選器操作”標(biāo)簽項(xiàng)，將“使用添加向?qū)А鼻懊娴墓催x取消，點(diǎn)擊“添加”按鈕；在“新篩選器操作屬性”的“安全措施”標(biāo)簽項(xiàng)中，選擇“阻止”，然后點(diǎn)擊“確定”按鈕；返回至“新規(guī)則屬性”對話框，選中“新篩選器操作（1）”左邊的圓圈，點(diǎn)擊“應(yīng)用”、“確定”等按鈕；返回至“本地組策略編輯器”，右鍵點(diǎn)擊新添加的IP安全策略，選擇“所有任務(wù)”—>“分配”；再在DOS命令行模式下輸入netstat命令查看端口的連接情況，可以看到木馬程序使用端口關(guān)閉成功。STEP03：查看服務(wù)情況，禁用可疑服務(wù)。右鍵點(diǎn)擊“計算機(jī)”，選擇“管理”；展開“服務(wù)和應(yīng)用程序”下的“服務(wù)”，在中間欄查看服務(wù)情況，如下圖顯示名稱為“naurwpm”的服務(wù)非常可疑，這就是遠(yuǎn)程控制木馬所使用的服務(wù)項(xiàng)；雙擊該可疑服務(wù)，在“啟動類型”中選擇“禁用”，點(diǎn)擊“應(yīng)用”、“確定”按鈕，將該可疑服務(wù)禁用。注：該木馬程序每次安裝所產(chǎn)生的服務(wù)名稱并不相同，管理員需憑借自己敏銳的專業(yè)能力來查找可疑的服務(wù)項(xiàng)。還有一些木馬程序使用的服務(wù)項(xiàng)是在真實(shí)服務(wù)項(xiàng)的基礎(chǔ)上修改的，例如將下圖的“IPHelper”服務(wù)項(xiàng)修改為“IPHe1per”（將小寫l換成數(shù)字1），描述部分直接復(fù)制。這種情況下，需要網(wǎng)絡(luò)管理員非常細(xì)致地查看才能發(fā)現(xiàn)。STEP04：根據(jù)可疑服務(wù)查找并刪除可疑文件。右鍵點(diǎn)擊STEP02中的可疑服務(wù)“naurwpm”，選擇“屬性”；根據(jù)屬性頁面中的服務(wù)名稱和顯示名稱，在操作系統(tǒng)文件盤中查找相關(guān)文件，如在system32文件夾下發(fā)現(xiàn)名為“ntfastuserswitchingcompatibility.dll”的可疑文件；刪除該可疑文件。STEP05：檢查注冊表，刪除可疑服務(wù)的鍵值。點(diǎn)擊開始菜單，在“運(yùn)行”窗口輸入“regedit”，打開注冊表編輯器；檢查操作系統(tǒng)服務(wù)選項(xiàng)的注冊鍵值“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services”，發(fā)現(xiàn)“fastuserswitchingcompatibility”是遠(yuǎn)程控制木馬程序的子鍵；右鍵點(diǎn)擊該子鍵，選擇“刪除”，在“確認(rèn)項(xiàng)刪除”提示框中點(diǎn)擊“是”按鈕；完成遠(yuǎn)程控制木馬的手工查殺。注：有些木馬程序需要先結(jié)束其進(jìn)程，然后才能刪除子鍵。還有一些比