3.2.2 白金远控木马的查杀_第1页
3.2.2 白金远控木马的查杀_第2页
3.2.2 白金远控木马的查杀_第3页
3.2.2 白金远控木马的查杀_第4页
3.2.2 白金远控木马的查杀_第5页
已阅读5页,还剩13页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

信息安全攻防技术3.2.2白金远控木马的查杀该类木马的查杀方案一般有两种:一种是利用杀毒软件,如360安全卫士、卡巴斯基等,该方案操作简单,不需要太多的网络基础,非常适用于常规的计算机用户;另一种是手工查杀,比较适用于专业的网络管理员,对清除顽固性木马相当有效。此处介绍第二种方案。3.2基于木马的远程控制攻击与查杀演示环境:被植入远程控制木马的Windows7或Windows8操作系统主机,此处以Windows7操作系统主机为例。演示工具:无。操作概要:①查看端口的连接情况,发现木马痕迹;②关闭木马程序使用的端口;③查看服务情况,禁用可疑服务;④根据可疑服务查找并删除可疑文件;⑤检查注册表,删除可疑服务的键值。操作步骤:STEP01:查看端口的连接情况。当网络管理员发现计算机有异常时,可以在DOS命令行模式下输入netstat命令查看端口的连接情况。如下图中的3-3-100-PC:9912号端口正是远程控制木马使用的端口。由上图可以发现:木马程序是利用黑客主机的9912号端口与用户计算机建立连接进行通信的。因此,可以通过IP筛选器关闭木马程序使用的端口,禁止用户计算机与黑客主机的9912号端口通信。点击开始菜单,在“运行”窗口输入“gpedit.msc”,打开“本地组策略编辑器”;选中“安全设置”下的“IP安全策略,在本地计算机”;在右栏空白处点击右键,选择“创建IP安全策略”;在弹出的“IP安全策略向导”中点击“下一步”;为新的安全策略命名并进行描述,点击“下一步”;在“安全通信请求”对话框中取消“激活默认相应规则”前面的勾选,点击“下一步”、“完成”按钮,创建一个新的IP安全策略;在弹出的“属性”对话框中,将“使用添加向导”前面的勾选取消,点击“添加”按钮添加新的规则;在“新规则属性”对话框中点击“添加”按钮;在“IP筛选器列表”窗口命名筛选器,将“使用添加向导”前面的勾选取消,点击“添加”按钮;在“IP筛选器属性”窗口的“地址”标签项选择源地址为“任何IP地址”,目标地址为“我的IP地址”,勾选“镜像”选项;在“协议”标签项选择“选择协议类型”为“TCP”,在“从此端口”文本框中输入“9912”,点击“确定”按钮;返回至“新规则属性”对话框,在“筛选器操作”标签项,将“使用添加向导”前面的勾选取消,点击“添加”按钮;在“新筛选器操作属性”的“安全措施”标签项中,选择“阻止”,然后点击“确定”按钮;返回至“新规则属性”对话框,选中“新筛选器操作(1)”左边的圆圈,点击“应用”、“确定”等按钮;返回至“本地组策略编辑器”,右键点击新添加的IP安全策略,选择“所有任务”—>“分配”;再在DOS命令行模式下输入netstat命令查看端口的连接情况,可以看到木马程序使用端口关闭成功。STEP03:查看服务情况,禁用可疑服务。右键点击“计算机”,选择“管理”;展开“服务和应用程序”下的“服务”,在中间栏查看服务情况,如下图显示名称为“naurwpm”的服务非常可疑,这就是远程控制木马所使用的服务项;双击该可疑服务,在“启动类型”中选择“禁用”,点击“应用”、“确定”按钮,将该可疑服务禁用。注:该木马程序每次安装所产生的服务名称并不相同,管理员需凭借自己敏锐的专业能力来查找可疑的服务项。还有一些木马程序使用的服务项是在真实服务项的基础上修改的,例如将下图的“IPHelper”服务项修改为“IPHe1per”(将小写l换成数字1),描述部分直接复制。这种情况下,需要网络管理员非常细致地查看才能发现。STEP04:根据可疑服务查找并删除可疑文件。右键点击STEP02中的可疑服务“naurwpm”,选择“属性”;根据属性页面中的服务名称和显示名称,在操作系统文件盘中查找相关文件,如在system32文件夹下发现名为“ntfastuserswitchingcompatibility.dll”的可疑文件;删除该可疑文件。STEP05:检查注册表,删除可疑服务的键值。点击开始菜单,在“运行”窗口输入“regedit”,打开注册表编辑器;检查操作系统服务选项的注册键值“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services”,发现“fastuserswitchingcompatibility”是远程控制木马程序的子键;右键点击该子键,选择“删除”,在“确认项删除”提示框中点击“是”按钮;完成远程控制木马的手工查杀。注:有些木马程序需要先结束其进程,然后才能删除子键。还有一些比

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论