3.2.2 白金远控木马的查杀

信息安全攻防技术3.2.2白金远控木马的查杀该类木马的查杀方案一般有两种：一种是利用杀毒软件，如360安全卫士、卡巴斯基等，该方案操作简单，不需要太多的网络基础，非常适用于常规的计算机用户；另一种是手工查杀，比较适用于专业的网络管理员，对清除顽固性木马相当有效。此处介绍第二种方案。3.2基于木马的远程控制攻击与查杀演示环境：被植入远程控制木马的Windows7或Windows8操作系统主机，此处以Windows7操作系统主机为例。演示工具：无。操作概要：①查看端口的连接情况，发现木马痕迹；②关闭木马程序使用的端口；③查看服务情况，禁用可疑服务；④根据可疑服务查找并删除可疑文件；⑤检查注册表，删除可疑服务的键值。操作步骤：STEP01：查看端口的连接情况。当网络管理员发现计算机有异常时，可以在DOS命令行模式下输入netstat命令查看端口的连接情况。如下图中的3-3-100-PC:9912号端口正是远程控制木马使用的端口。由上图可以发现：木马程序是利用黑客主机的9912号端口与用户计算机建立连接进行通信的。因此，可以通过IP筛选器关闭木马程序使用的端口，禁止用户计算机与黑客主机的9912号端口通信。点击开始菜单，在“运行”窗口输入“gpedit.msc”，打开“本地组策略编辑器”；选中“安全设置”下的“IP安全策略，在本地计算机”；在右栏空白处点击右键，选择“创建IP安全策略”；在弹出的“IP安全策略向导”中点击“下一步”；为新的安全策略命名并进行描述，点击“下一步”；在“安全通信请求”对话框中取消“激活默认相应规则”前面的勾选，点击“下一步”、“完成”按钮，创建一个新的IP安全策略；在弹出的“属性”对话框中，将“使用添加向导”前面的勾选取消，点击“添加”按钮添加新的规则；在“新规则属性”对话框中点击“添加”按钮；在“IP筛选器列表”窗口命名筛选器，将“使用添加向导”前面的勾选取消，点击“添加”按钮；在“IP筛选器属性”窗口的“地址”标签项选择源地址为“任何IP地址”，目标地址为“我的IP地址”，勾选“镜像”选项；在“协议”标签项选择“选择协议类型”为“TCP”，在“从此端口”文本框中输入“9912”，点击“确定”按钮；返回至“新规则属性”对话框，在“筛选器操作”标签项，将“使用添加向导”前面的勾选取消，点击“添加”按钮；在“新筛选器操作属性”的“安全措施”标签项中，选择“阻止”，然后点击“确定”按钮；返回至“新规则属性”对话框，选中“新筛选器操作（1）”左边的圆圈，点击“应用”、“确定”等按钮；返回至“本地组策略编辑器”，右键点击新添加的IP安全策略，选择“所有任务”—>“分配”；再在DOS命令行模式下输入netstat命令查看端口的连接情况，可以看到木马程序使用端口关闭成功。STEP03：查看服务情况，禁用可疑服务。右键点击“计算机”，选择“管理”；展开“服务和应用程序”下的“服务”，在中间栏查看服务情况，如下图显示名称为“naurwpm”的服务非常可疑，这就是远程控制木马所使用的服务项；双击该可疑服务，在“启动类型”中选择“禁用”，点击“应用”、“确定”按钮，将该可疑服务禁用。注：该木马程序每次安装所产生的服务名称并不相同，管理员需凭借自己敏锐的专业能力来查找可疑的服务项。还有一些木马程序使用的服务项是在真实服务项的基础上修改的，例如将下图的“IPHelper”服务项修改为“IPHe1per”（将小写l换成数字1），描述部分直接复制。这种情况下，需要网络管理员非常细致地查看才能发现。STEP04：根据可疑服务查找并删除可疑文件。右键点击STEP02中的可疑服务“naurwpm”，选择“属性”；根据属性页面中的服务名称和显示名称，在操作系统文件盘中查找相关文件，如在system32文件夹下发现名为“ntfastuserswitchingcompatibility.dll”的可疑文件；删除该可疑文件。STEP05：检查注册表，删除可疑服务的键值。点击开始菜单，在“运行”窗口输入“regedit”，打开注册表编辑器；检查操作系统服务选项的注册键值“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services”，发现“fastuserswitchingcompatibility”是远程控制木马程序的子键；右键点击该子键，选择“删除”，在“确认项删除”提示框中点击“是”按钮；完成远程控制木马的手工查杀。注：有些木马程序需要先结束其进程，然后才能删除子键。还有一些比