我是冰峰,講一下反遠程。
現在的很多黑客做的軟件都存在後門程序的捆綁,所為後門程序就是在你的計算機中開某一個端口後門與黑客的主控端進行連接,一旦運行了捆綁後門的軟件,你的電腦就中了後門程序,只要黑客在線就能隨意的控制你的電腦了,不只是軟件,當然假如你的計算機存在漏洞已經被黑客提權並且植入了木馬你也沒發現,黑客總是喜歡植入遠程木馬,遠程木馬控制你的計算機,黑客通過遠程控制軟件即主控端能監控你的桌面活動、監控你在幹什麼;可以查看你各個磁盤的文件,還可以把你的重要隱私文件、照片下載到黑客的電腦中;可以刪除、格式化你的資料,修改你的操作系統設置,無時無刻監控著你。更可怕的是隻要你有麥,就可以監聽你的語音說話聲,只要你有攝像頭就可以在後臺悄悄打開攝像頭看到你本人。這是多麼可怕的木馬吧,這樣把我們的全部隱私都暴露在了黑客的眼中。如果黑客再植入盜號木馬那就更麻煩了。所以現在本來在這裡教大家簡單的反黑客遠程控制的方法,方法很簡單,大家一學就會的。學習之前我們先了解下遠程木馬的幾個特性然後針對這些特性如何去判別是否被遠程控制,軟件是否有後門?
一、遠程控制的兩個通性
(1)任何一款的遠程控制技術都必須與目標(被控端)建立至少一個TCP或者UPD連接。如果黑客未上線,則會每隔30秒向黑客發起連接請求。
(2)任何一款遠控木馬都會向系統寫入至少一個隨機啟動項、服務啟動項,或者劫持某個系統必備的正常啟動項。並且會在某個目錄中隱、釋放木馬。以方便隨機啟動。
二、基於遠控通性反遠程控制法——兩條命令判斷是否被控制
1.最簡單的方法就是通過兩條命令,一條是“netstat “ 。另一條就是“tasklist “命令,這兩條命令可真為是絕配的反黑客遠控的方法啊。首先我們就在虛擬機中測試,在本機使用灰鴿子主控端生成一個木馬放入到虛擬機中運行。
2.確認虛擬機已經中了我們的遠控木馬之後我們開始執行第一條命令,首先大家先在聯網的情況,把所有聯網的程序都關閉,包括殺毒軟件、QQ、迅雷、等存在聯網的程序關閉,保存最原始的進程。這樣很方便我們識別。再次打開開始菜單——運行——輸入“cmd”。進入到黑色的DOS窗口下,輸入命令“netstat -ano“。這條命令的意思是查看當前網絡的連接狀態。輸入之後我們查看中主要看"state"的狀態,如果是“listenning”是端口的監聽這個可以放心,如果是“ESTABLISHED”可要注意了,這個狀態意思是正在連接!我們肯定會想,我們都沒開任何程序在聯網,何來正在與遠程主機連接呢?下面是中了遠程控制木馬的虛擬機中網絡連接狀態。
3.此時捕捉到正在連接的狀態的最後一行PID值為:3920,這就是我們說的遠控至少與目標建立一個TCP或UDP連接,而這裡建立了一個TCP連接,並且仔細看下,“Foregin Address”意思是外網地址,這個IP地址可以百度進行查詢下就可以知道是哪個地區的人在控制我們的電腦,再仔細看下IP地址後面的端口為:8000,現在很多主流的遠程軟件都是8000或者80端口,這又更值得懷疑了。這樣我們就可以查看進程,因為木馬要想進行連接就必定會在內存中進行運行,否則就無法進行連接了,我們查看內存中可疑的進程,上面捕獲的連接PID為:3920。我們輸入命令“tasklist /svc“這條命令是查看當前進程與PID值和啟動的服務。
4.通過上面的命令找到了網絡連接對應的PID值進程3920,並且發現該進程名是一個IE的進程,很明顯這就有問題,因為我們根本沒打開瀏覽器,何來IE進程呢?果斷的就知道它的一個遠程控制木馬偽裝的進程。我們應該馬上去進行一個查殺掉該進程,從內存中幹掉它。我們輸入命令“taskkill /f /pid 3920” 這條命令是強制結束PID值為3920的進程。當我們強制結束掉了木馬之後發現主控端遠程控制軟件上的肉雞馬上就下線了。這樣黑客就無法進行控制了。
5.在這裡說明,我們只是暫時現在已經讓黑客無法控制我們的電腦,結束了它的遠程控制的連接程序。但是我們要知道遠程控制的第二個通性,就是遠程控制軟件為了讓對方能夠重啟系統後繼續在黑客的遠控軟件上面上線,就必須會在被控者的電腦上寫入一個隨機啟動項,這個隨機啟動項就是當系統啟動的時候立馬運行木馬,運行了木馬就可以再次上線。所以我們還需要檢測我們的啟動項。很多啟動項都是寫入註冊表的,我們這裡給大家列出一些木馬可能寫入的啟動鍵值。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon 下的shell鍵值
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows 下的load鍵值
以上是我們列舉出的木馬可能會存在自啟動的註冊表鍵值,其中第一個可以通過運行“msconfig”看到的。經過我們的仔細查看了所有存在可能的隨機啟動項發現沒有任何異常,此時我們就要注意,是否是以服務的方式啟動呢?下面我們就去檢查可以的服務,經過多次對服務的分析,我們查看到有一個名字為“Rising RavTask Manage.”的進程可疑,因為過它的啟動程序是藏在“C:\WINDOWS\Rising\svchot.exe"的程序,看過我前面的技術文章
《Svchost.exe進程的分析》就一下能判斷出這就是偽裝類似svchost文件,我們找到該目錄後就會發現該文件還是個系統隱藏的文件,那就更可疑了,一個程序還設置為系統隱藏!可疑!正常情況下除去系統重要文件會隱藏,如果你對系統有足夠的瞭解,看的出非系統文件居然隱藏!絕對是很可疑的,這時候可以百度下這個文件!!
6.在CMD下切換到該目錄下進程一個強制刪除吧,切換到目錄後輸入命令“del /ah /f svchot.exe “ 就可以強制刪除隱藏的木馬了。
7.此時我們把隱藏的以服務啟動的木馬乾掉了,你可以去停止服務,或者通過sc delete
三、基於遠控的通性反黑客遠程控制法——兩個軟件判斷是否存在後門
1.這兩個工具分別是icesword(中文:冰刃)和SSM軟件。第一個軟件主要是應對一些DLL進程注入或者是存在Rootkit的木馬,所謂的Rootkit就是隱藏的意思,這樣的木馬有隱藏網絡連接狀態、隱藏進程的功能。但是使用iceword查看就能查看到這種內核級隱藏的木馬。例如下面就是GHOST木馬的DLL注入,它是通過DLL注入到svchost.exe進程的,從icesword就可以找到可疑的dll模塊。如果有不懂可以查看我前面的技術文章《svchost.exe進程分析》。
並且大家都說"Svchost.exe“如果與外界的IP連接就肯定是被控制了,這是有道理的。因為現在的遠控比如ghost、白金遠控就是會有這種現象就是DLL注入到“svhochst.exe“進程進行控制的,所以會有連接,一般來說“svchost.exe“除了在微軟更新的時候可能存在與美國IP的連接,但是其它時候都不會存在與外界進行IP連接的。通過360的網絡連接就可以直接看的出來。
icesword裡面的進程都是黑色顯示的,如果出現有紅色的進程,一般都是運用了內核級的rootkit技術的木馬。這樣的木馬通過任務管理器或者tasklist /svc 一般都是查看不到進程的,但是用冰刃卻可以很快的查看到,如下圖所示:
2。icesword的軟件很強大這裡就不多說了,上面已經舉例說了。下面說下SSM工具的使用,首先我先在虛擬機裡面安裝下這個軟件吧。並且開啟這個軟件,開啟這個軟件後只要我們運行任何一個程序都會報警說明軟件執行了什麼動作!這裡我們將一個灰鴿子遠控木馬拷貝進到我們的虛擬機,當我們點擊遠控木馬的時候SSM馬上就報警了,提示程序啟動,這個動作是正常的,因為該程序需要explorer圖形化程序進程啟動的。
喜歡就關注。噴子繼續當跳樑小醜。
閱讀更多 黑客冰峰 的文章
