[转载请注明出处 http://blog.whitejadesoft.com]
现在的网络环境真的很不安全,上周小侄子用我的电脑上了几个玩flash小游戏的网站,居然马上就中木马了。尽管不怎么占用系统资源,但是这只马到底有什么危害并不清楚,我也不想成为别人的肉鸡。
【在这里强烈鄙视一下网站挂马和用肉鸡挣钱的所谓“黑客” - 君子爱财,取之有道。既然你技术很牛,就做点正经事吧。公司现在有个CTO的空缺,有能力就来试试!】
决定自己手动清除木马,首先查找系统的启动项。一下子想不起来msconfig的命令,如是google一把。却意外地发现sysinternals的免费工具autoruns能够列出所有的启动项,这个小程序一直在我的
工具箱里,从来没有用过。我还以为它是用来设置光驱自动运行的呢,呵呵。把这个程序运行起来,发现真的是个好东东。
上图是autoruns运行的界面,列出了很多个系统的启动项。
-
Logon This entry results in scans of standard autostart locations such as the Startup folder for the current user and all users, the Run Registry keys, and standard application launch locations.
-
Explorer Select this entry to see Explorer shell extensions, browser helper objects, explorer toolbars, active setup executions, and shell execute hooks.
-
Internet Explorer This entry shows Browser Helper Objects (BHO's), Internet Explorer toolbars and extensions.
-
Services 所有的系统服务 (Windows Services)
-
Drivers 所有内核模式的驱动程序 (kernel-mode drivers),除了被禁用的驱动之外。
-
Scheduled Tasks 计划任务
-
AppInit DLLs 在注册表项HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls下可以查看这些动态链接库。关于AppInit的详细讲解,可以参考《Windows核心编程》的第22章。
-
Boot Execute 这个在注册表项HKLM\System\CurrentControlSet\Control\Session Manager\BootExecute 中指定,注意这里的程序是所谓的Native images,而不是Windows images。因为系统引导到这一步的时候Windows的子系统(Win32, Posix,OS/2)环境还没建立起来。
-
Image Hijacks 在注册表项HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 下。(这个我不懂哦)不过有两篇博文可供参考:
-
Known DLLs 著名的"Known DLLs" 在注册表项HKLM\System\CurrentControlSet\Control\Session Manager\KnownDlls 下。有兴趣可以参考《Windows核心编程》。
-
Winsock Providers 显示Winsock中注册的协议和服务提供者程序。熟悉Winsock 2的同学就不用我多解释这个啦。
-
LSA Providers 对LSA感兴趣的话可以参考《Windows技术内幕》,MSDN网站或Keith Brown的文章,呵呵。
-
Printer Monitor 这个我不懂。
另外,除了autoruns.exe之外,还有一个命令行程序(console application)叫做autorunsc.exe。如下图所示。(如果和grep结合起来就好用了)
[结论] Windows真的是一个藏污纳垢的好所在,太多太多的地方能够让别有用心的程序得手。
链接:
Autoruns for Windows - http://technet.microsoft.com/en-us/sysinternals/bb963902.aspx