关于查杀木马

最新推荐文章于 2024-09-17 13:53:04 发布
最新推荐文章于 2024-09-17 13:53:04 发布
阅读量1.2k 收藏
点赞数
分类专栏: 安全 文章标签: 安全 木马
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/prahs/article/details/71603414
版权

背景

今天在yuange的微博中看到一些关于查杀木马的技巧,原文“这些都是些实战经验,还有dlllist过滤0x10000000地址查木马,vc默认模块地址0x10000000,微软为了加快加载地址不冲突自己的模块都错开分配好了的,而绝大多数木马开发者不懂这些,简单工具就过滤90%以上木马。再配合我的独门绝技打开Dnsrslvr.log记录DNS,基本上简单的手工就可以查出起码95%以上木马。”

其中提到dlllist过滤0x10000000地址查木马和打开Dnsrslvr.log记录DNS两点。碰巧yuange又提到一个例子,说到文章作者的方法比较麻烦:清除以服务启动DLL插入型木马

看了这篇文章后,再加上yuange的说法有些小收获

1. dll加载列表

在”开始”->”运行”里输入msinfo32.exe,紧接着片打开了一个程序窗口,接着按照下面的方式进行建立,在左侧下拉列表菜单中选择”软件环境”->”加载的模块”,就可以查看到所有进程加载的模块。 接着可以在顶部的下拉菜单中选择”文件”->”导出”,将当前的列表导出为文本文件。这样就完成了备份,由于服务器配置完毕后很少在进行其他的软件安装,也很少更改当前的配置,所以这些被加载模块的名称一般是不变的。
感觉这种方法类似做一个白名单,在刚配置好系统环境的可信初期,建立这么一个列表,有助于以后发现恶意加载的dll.
当然了yuange认为这种方法比较麻烦,在上述文章后面的分析中,用冰刃,通过分析业务关闭时的特殊对外端口,找到特殊进程,再在进程中找到可疑加载模块。而这时,我看到这个可疑加载模块的base正是0x10000000。这应该也就是yuange提到的那个方法,直接找base是0x10000000的dll可能很快就能发现木马

究其原因,貌似一般系统进程加载的正常模块都是0x50000000以上,这个自己开发的模块在不做调整的情况下文件基址一般都是0x10000000,即“vc默认模块地址0x10000000,微软为了加快加载地址不冲突自己的模块都错开分配好了的”,这些还有待深入研究。

2. Dnsrslvr log

在网上搜了一下,在这篇关于windows log的文章中看到

1.3. DNS Client service

The DNS Client service does not log by default. However, if a file named %systemroot%\system32\dnsrslvr.log is manually created, this file is used by the service to log debug information:

C:\WINDOWS\system32>echo “” > dnsrslvr.log
In Windows XP and Windows Server 2003, NTFS write permissions for the NETWORK SERVICE SID must be explictly given:

C:\WINDOWS\system32>cacls dnsrslvr.log /E /G “NETWORK SERVICE”:W
Table 3. DNS Client service

Filename Service or program Windows version Description
%systemroot%\system32\dnsrslvr.log Dnscache service W2K, WXP, W2K3 DnsCache service debug log

总而言之,它应该是windows DNS客户端的log,默认是不开启的,我在自己的电脑上也确实没有找到这个文件,只找到了Dnsrslvr.dll这应该是它相关的动态库。也就是说,如果打开了这个功能,DNS的请求应该会留下相关的DNS记录,这样,木马外连时,应该就会留下痕迹,不得不说,yuange对windows的了解还是很深入的。这种方法应该不适用于外连直接用IP地址的情况,也不太适用于外连一个知名网站,然后在上面取目标IP的情况。不过这种情况应该不多,确实是一个简单有效的方法。

后来在自己机子(win7)上试着想打开这个log,但是敲命令后没有感觉,文件没有内容进来。后来在百度上没找到啥,google后看到个别人也在问,看了半天也没找到方法,后来看到微软的网站上有人写
“Perform the following procedures to install and enable DNS diagnostic logging on Windows Server 2012 R2. To install DNS diagnostic logging, the computer must be running the DNS Server role service.”
貌似要装什么服务才行,我觉得应该没这么麻烦,以后有空再弄吧。

ASP木马专门查杀工具
09-27
站长安全助手vbs版 使用说明 均在命令行下使用 ---------------------------- AntiIframe.vbs #该脚本是批量挂马程序的逆向,用于批量清除被添加到文件中的恶意代码。记事本打开文件可以修改Pattern参数指定要处理的文件名,文件名之间用|隔开(也支持vbs正则表达式)。由于要修改文件,请谨慎的使用(最好先备份文件) #用法: CScript AntiIframe.vbs [处理的路径] [包含清除内容的文件] #例子: CScript AntiIframe.vbs d:\Web d:\lake2.txt ---------------------------- Scan.vbs #该脚本用于本地扫描ASP木马,速度比ASP版快很多。可能存在误报、漏报的情况,视具体情况处理 #用法: CScript Scan.vbs [扫描路径] [结果HTM文件路径] #例子: CScript Scan.vbs d:\Web d:\report.html ----------------------------
木马查杀工具.zip
02-08
在网络安全领域,木马查杀工具是至关重要的。标题中的"木马查杀工具.zip"表明这是一款专门针对木马病毒的防护软件,而“火绒”是这款工具的名称,它具有高度的专业性和针对性。描述中提到,火绒木马查杀工具是一款轻...
木马查杀方法
yingpansjhf的专栏
05-07 601
  “木马”程序会想尽一切办法隐藏自己,主要途径有:在任务栏中隐藏自己,这是最基本的办法。只要把Form的Visible属性设为False,ShowInTaskBar设为False,程序运行时就不会出现在任务栏中了。在任务管理器中隐形:将程序设为“系统服务”可以很轻松地伪装自己。当然它也会悄无声息地启动,黑客当然不会指望用户每次启动后点击“木马”图标来运行服务端,“木马”会在每次用户启动时自动装载
防范和查杀ASP木马
软体疯子专栏
11-22 2027
      随着ASP 技术的发展,网络上基于ASP技术开发的网站越来越多,对ASP技术的支持可以说已经是windows系统IIS服务器的一项基本功能。但是基于ASP技术的木马后门,也越来越多,而且功能也越来越强大。由于ASP它本身是服务器提供的一贡服务功能,所以这种ASP脚本的木马后门,不会被杀毒软件查杀。被黑客们称为“永远不会被查杀的后门”。由于其高度的隐蔽性和难查杀性,对网站的安全
木马病毒的查杀清除方法
tgw2000的专栏
01-20 1297
明白了"木马"的工作原理,这样我们就会很容易发现电脑中的"木马"。我们也就可以轻易的查杀电脑中的木马病毒了!"木马"程序会想尽一切办法隐藏自己,主要途径有:在任务栏中隐藏自己,这是最基本的只要把Form的Visible属性设为False、ShowInTaskBar设为False,程序运行时就不会出现在任务栏中了。在任务管理器中隐形:将程序设为"系统服务"可以很轻松地伪装自己。当然它也会悄无声息地启
使用动网论坛如何查杀和防范木马
Jackal3的专栏
12-19 2141
首先,在这里感谢"黑客"们,动网发展的过程中确实抹不去他们的身影。这里之所以打上引号,并没有贬低的意思,而是指那些真正精通代码的,凭自己精深的技术发现和利用程序漏洞的人,他们一般并不做什么破坏,只是在研究中找到乐趣。我个人认为正是他们的存在促进了技术的快速发展。而对于普遍存在的"工具使用者"一族,他们大多数除了做些捣乱、破坏并自封为黑客等另人厌恶的事情外,似乎一无所长。言归正传,最近一些黑
查杀木马安全软件 驱动级安全系统保护 源代码.zip
01-27
【标题】和【描述】提及的是一个专注于查杀木马和提供驱动级安全保护的软件源代码。这个软件设计的核心目标是确保用户系统的安全性,通过驱动级防护来阻止恶意木马病毒的侵入和活动。驱动级保护意味着该软件能够在...
Linux下查杀webshell木马的工具.zip
01-05
在Linux环境中,安全是至关重要的,尤其是对于服务器管理员而言,防止和检测Webshell木马尤为重要。Webshell,也称为Web后门,是攻击者在网站上留下的恶意脚本,通常用于远程控制服务器,窃取数据,或者进行其他非法...
征途木马查杀工具源代码
10-21
《征途木马查杀工具源代码解析与学习指南》 在网络安全领域,木马查杀工具扮演着至关重要的角色,它们是防范恶意软件侵袭的第一道防线。本篇文章将深入探讨“征途木马查杀工具”的源代码,旨在为开发者提供一个学习...
ASP网站木马扫描杀毒
04-11
ASP木马扫描器可以扫描网站总带有病毒的页面并将其杀掉
ASP木马终结者(已经停发)
05-17
很多网管在为网站木马发愁吧,总是清理了又出现,出现了再清理;很多程序员劳动成果被老板窃取后一脚踢开了吧。 限量下载,10个人就停发。 已经8人,暂停下载,下载有密码,您下了之后也没有用,何时再共享,请等待。
彻底根除木马病毒:全面防御与清除指南
最新发布
weixin_42601547的博客
09-17 2690
本文还有配套的精品资源,点击获取 简介:木马病毒是一种常见的网络威胁,伪装成合法程序后对计算机系统造成损害。本文深入分析了木马病毒的传播方式和特性,并提出了通用的防御和清除策略。这些策略包括安装更新的防病毒软件、定期扫描系统、谨慎的网络行为、隔离模式运行、使用反恶意软件工具、手动清除可疑项目、恢复系统和寻求专业帮助等。通过这些方法,用户可以有效保护和恢复受感染的电脑,防范木...
asp 在线木马专杀程序
newsera
01-05 1580
asp 在线木马专杀程序,您的网站总中木马吗?,每天手动清理木马,上传本地文件,是不是很头疼?哎。。,我就有过这样的困扰,下载个本地替换工具还得把网站程序下载下来,太麻烦,所以写了这个程序和大家共享一下吧。 注:路径添“/”带表站点跟目录 BingduConfig.asp form { font-size: 12px; text-decoration: none;}li { f
木马病毒的万能查杀方法
唸 尐 憂 的 天 空
09-02 1412
木马”程序会想尽一切办法隐藏自己,主要途径有:在任务栏中隐藏自己,这是最基本的办法。只要把Form的Visible属性设为False,ShowInTaskBar设为False,程序运行时就不会出现在任务栏中了。在任务管理器中隐形:将程序设为“系统服务”可以很轻松地伪装自己。当然它也会悄无声息地启动,黑客当然不会指望用户每次启动后点击“木马”图标来运行服务端,“木马”会在每次用户启动时自动装载。W
手工查找后门木马的小技巧
Python_0011的博客
03-28 1433
运行”-“cmd”-“netstat -an”查看有没有可疑或非正常程序的网络连接,尤其注意一下远程连接的端口,如果有类似于 8000 等端口就要注意了,8000 是灰鸽子的默认端口, 8000 端口只是灰鸽子上线的默认端口,并且端口是可以更改的。内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…当然,黑客也有可能修改”修改日期“,但遇到很少。
通过DNS通信绕过杀毒软件进行木马传输
weixin_34318326的博客
09-19 1379
本文讲的是通过DNS通信绕过杀毒软件进行木马传输,在这种技术中,我想通过DNS协议将我的后门木马从攻击者计算机种植在客户端计算机上面,因此在这种情况下,我们需要一个没有硬编码的木马或加密有效的后门代码。因为通过DNS传输,所以被杀毒软件发现的几率特别小。 为什么通过DNS传输不容易被发现呢? 因为在大部分的网络环境中,DNS通信内容不需要被硬件防火墙或...
启动应用程序出现dnsrslvr.dll找不到问题解决
wbcmbfy的博客
03-22 752
其实很多用户玩单机游戏或者安装软件的时候就出现过这种问题,如果是新手第一时间会认为是软件或游戏出错了,其实并不是这样,其主要原因就是你电脑系统的该dll文件丢失了或没有安装一些系统软件平台所需要的动态链接库,这时你可以下载这个dnsrslvr.dll文件(挑选合适的版本文件)把它放入到程序或系统目录中,当我们执行某一个.exe程序时,相应的DLL文件就会被调用,因此将缺失的文件放回到原目录之后就能打开你的软件或游戏了.那么出现dnsrslvr.dll丢失要怎么解决?
信息化工作人员必备常识11——DNS污染&本地hosts文件缓存影响
一个做过前端开发的产品经理,经历过睿智产品的折磨导致脱发之后,励志要翻身"农奴"把歌唱,一边打入敌人内部一边持续提升自己,为我们广大开发同胞谋福祉,坚决抵制睿智产品折磨我们码农兄弟!
04-30 1619
DNS污染又称域名服务器缓存投毒(DNS cache poisoning) **DNS污染**和**DNS劫持**的不同之处在于: DNS污染针对的是DNS缓存,是在查询信息到达目标DNS服务器前,经过的节点上做手脚。 DNS劫持是修改DNS服务器中的记录,要先取得DNS服务器的控制。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值