绿色圃中小学教育网

 找回密码
 免费注册

QQ登录

只需一步,快速开始

查看: 4796|回复: 0
打印 上一主题 下一主题

黑客教你如何利用Excel剿灭DLL木马

[复制链接]
跳转到指定楼层
楼主
发表于 2010-2-4 10:47:00 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
黑客教你如何利用Excel剿灭DLL木马DLL木马是依靠DLL文件来作恶的,木马运行时不会在进程列表出现新的进程,而且很多DLL木马还插入到系统关键进程中(无法终止),即使能被杀毒软件检测出来也无法查杀,这给系统安全带来极大的威胁。如果你的手头没有趁手的杀马兵器,抄起办公的Excel我们也可以肉搏一番。下面就看看我们是如何用Excel对付这种插入lsass.exe进程的木马吧!

  第一步:查找被感染的进程

  近日开机上网一段时间后就觉得网速特别的慢,于是便运行“netstat -a -n -o”查看开放的端口和连接,其中进程PID为580发起的连接极为可疑:状态为ESTABLISHED,表示两台机器正在通信(见图1)。通过任务管理器可以知道这个进程为lsass.exe,根据进程的解释,lsass.exe是用于微软Windows系统的安全机制,它用于本地安全和登陆策略,显然这个进程是不需要开放端口和外部连接的,据此判断该进程极可能插入DLL木马。如果牧马者当前没有进行连接,还可以通过端口状态判断是否中招,如TIME_WAIT的意思是结束了这次连接,说明端口曾经有过访问,但访问结束了,表明已经有黑客入侵过本机。LISTENING表示处于侦听状态,等待连接,但还没有被连接,不过只有TCP协议的服务端口才能处于LISTENING状态。



  小提示:判断是否中招的前提是要找出被感染的进程,按被插入进程的类别分,DLL木马大致可以分为:

  1.插入常用进程,如Notepad.exe、Iexplorer.exe(此类木马的判断很简单,开机后不启动任何程序,打开任务管理器如果发现上述进程,那就可以判断中招了)。

  2.插入系统进程,如Explorer.exe、lsass.exe(由于每台电脑开机后都有上述的进程,具体可以通过查看端口和进程本身特性加以判断,比如本机的lsass.exe、winlogon.exe、explorer.exe就不会开放端口连接)。

  3.对于插入本身就开放端口进程如alg.exe、svchost.exe,需要通过连接状况、连接IP、调用DLL综合加以判断。
分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
收藏收藏 分享分享 顶 踩
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 免费注册

本版积分规则

绿色圃中小学教育网 最新主题

GMT+8, 2024-11-24 21:15

绿色免费PPT课件试卷教案作文资源 中小学教育网 X3.2

© 2013-2016 小学语文数学教学网

快速回复 返回顶部 返回列表