进程对比辨“真凶”
数码时尚
如今,随着广大电脑用户防范意识的加强,木马的“易容术”也日益高明起来,简单更改一下图标、文件名的手段,已经很难逃过大家的“法眼”。现在主流的木马伪装方法是利用文件捆绑工具将一个正常文件(多为Flash动画或小游戏之类,一些“优秀”的工具甚至还支持对不可执行程序进行捆绑)与木马服务器端合并在一起,生成一个新的文件。如果在文件生成过程中启用了反特性码扫描功能,那么在杀毒软件的监控之下,它们都能瞒天过海。下面,笔者就介绍一下通过比较打开可疑文件前、后的进程,来判断指定文件是否暗藏木马方法。
使用工具:Wintext(程序管理器)
下载地址:http://www.chinesehack.org/down/show.asp?id=3138&down=1
测试对象:一个捆绑了灰鸽子木马服务器端的Flash动画。
实施方法:运行“程序管理器”后,点击“首次记录”命令按钮,在主界面相应的列表中将显示出当前系统所有的进程(图1)。再运行那个事先准备好的含木马的Flash动画,启动后从表面上只能看到一个正在播放的Flash,实际上捆绑在其中的木马已同时在后台悄悄被激活了。真的如此吗?我们点击“程序管理器”界面中的“第2次记录”按钮,此时使它在相应的列表中显示出此时的进程,然后立即点击“产生对比”按钮,大家查看界面最下端的列表,在那里显示出了这两次进程记录对比的结果,明明只运行了一个程序,却产生了两个进程(图2)……无须多说了吧。最后,大家在“第2次记录”列表中选定那个木马进程,点击“结束任务”按钮即可立刻将木马封杀。
提醒:封杀木马进程其实只是治标不治本的办法,建议大家对系统进行彻底查杀,并清除木马的相关启动项。