覺現在的互聯網上,病毒以及各種類型的木馬程序越來越多了,換著花樣的出現。除了加強防范意識之外,那么我們如何確定自己的電腦是否被植入了后門呢?其實這很容易,只需要簡單的一行代碼就可以查詢出電腦中的異常情況。今天就和大家簡單地分享一下,幾種簡單有效的檢測方法。
第1種方法,首先我們在電腦桌面上找到我的電腦圖標,然后在這個圖標上單擊鼠標右鍵點擊“管理”。
然后我們在管理程序對話框中的左側一欄,看到一個“本地用戶和組”的選項,在這個選項上快速地雙擊鼠標左鍵。就能看到這個選項已經被展開了,顯示出了兩個文件夾,分別是“用戶”和“組”。
我們在“用戶”上單擊鼠標左鍵。這個時候我們就可以在右側的選項欄中看到本臺電腦中所有的用戶列表了。可以在任意一個用戶名稱上,雙擊鼠標左鍵,來查看對應用戶所具備的使用權限。我在這里查看了一下,有幾個未知的賬號,居然具備Administrators超級管理員權限,這樣一看,就非常可疑了。
可以對平時不怎么使用的來賓賬號以及一些未知用戶,通通刪掉。不給那些不懷好意的黑客,留下任何可乘之機。這第1種方法操作起來比較簡單,沒有什么門檻兒。
第2種檢測方法,我們可以點擊桌面左下角的開始菜單,然后在輸入框中輸入cmd,這個時候會出現一個cmd圖標選項,只需要在這個cmd圖標上,單擊鼠標右鍵,選擇以管理員身份運行即可。在黑色的命令提示符對話框中輸入以下命令,可查看對應的系統信息。
1.命令:nat user【這個命令可以查看操作系統中的所有用戶,帶$隱藏字符的用戶無法查看,可通過用戶管理工具處理】
2.命令:net localgroup administrators【這個命令可以查看操作系統中,所有具備超級管理員權限的用戶】
3.命令:netstat -ano【這個命令可以查看操作系統中的所有的網絡連接狀態,可以查看是否存在可疑的ip連接,從而判斷是否存在可疑后門】
操作總結:
通過對操作系統中的用戶管理以及網絡連接狀態,我們就可以清晰透明地了解到。電腦是否存在木馬后門,在平時的使用中,我們一定要時刻牢記,不要從網上下載來路不明的程序,如果要使用某一款軟件,應該到該軟件的官方網站進行下載安裝。避免電腦被病毒感染。
使用提示:
1.除了使用netstat -ano命令查看網絡連接之外,還可以使用微軟官方推出的TCPView程序,來查看系統中各個程序詳細的聯網情況。
2.以上操作完成后,可以為電腦加裝殺毒軟件并更新到最新版本,這樣能夠對操作系統進行安全加固,也可以立竿見影地避免被黑客頻繁入侵。
電腦被黑客入侵后,通常會留下后門程序,方便下一次入侵。下面以一些常見的后門程序創建為例,介紹后門程序的功能與防范措施。
放大鏡后門
放大鏡(magnifty.exe)是Window系統集成的一個小工具,它是為方便視力障礙用戶而設計的。在用戶登錄系統前可以通過快捷鍵Win+U調用該工具,攻擊者用精心構建的magnify.exe同名文件替換放大鏡程序,從而達到控制服務器的目的。
通常情況下,攻擊者通過構造的magnify .exe程序創建一個管理員帳戶, 然后登錄系統。有時會通過其直接調用命令提示符( cmd.exe)或者系統shell (explorer.exe )創建。需要說明的是,這樣調用的程序都是system權限,即系統最高權限。不過,為防止管理員在運行放大鏡程序時發現破綻,攻擊者一般通過該構造程序完成所需的操作后,會運行真正的放大鏡程序,以蒙騙管理員。
1.構造批處理腳本
@echoof
Net user bdtest$ test /add
Net localgroup administrator bdtest /add
%Windir%\system32\nagnify.exe
exit
將上面的腳本程序保存為magnify.bat,其作用是創建一個密碼為test的管理員賬戶bdtest$,最后運行改名后的放大鏡程序nagnify.exe
2.文件格式轉換
因為批處理文件magnify bat的后綴是bat,必須要將其轉換為同名的exe文件才可以通過快捷鍵Win+U調用。攻擊者般可以利用WinRar構造一個自動解壓的exe壓縮文件, 當然也可以利用bat2com.、com2exe進行文件格式的轉換。
打開命令行,進入bat2com、com2exe工具所在的目錄,然后運行命令bat2commagnify.bat將magnify. bat轉換成magnify.com,繼續運行命令com2exemagnifty com將magnify .com轉換成magnify. exe,這樣就把批處理文件轉換成和放大鏡程序同名的程序文件了。
3.放大鏡文件替換
下面用構造的magnify exe替換同名的放大鏡程序文件。由于Windows對系統文件的自我保護,因此不能直接替換,不過Windows提供了一個命令replace.exe,通過它可以替換系統文件。另外,由于系統文件在%Windir%\system32llcache中有備份,為了防止文件替換后又重新還原,首先要替換該目錄下的magnify.exe文件。假設構造的magnify.exe文件在%Windir%目錄下,可以通過一個批處理實現文件的替換。
@echooff
Copy %Windir%\system32 \d11cache \magnify.exe nagnify.exe
Copy %Windir%\system32 \magnify.exe nagnify.exe
replace.exe %Windir%\ magnify.exe %Windir%\system32 \dllcache
replace.exe %Windir%\magnify.exe %Windir%\system32
exit
在上面批處理中,首先將放大鏡程序備份為nagnify.exe,然后用同名的構造程序將其替換。
4.攻擊利用
當完成上述操作后,一個放大鏡后門就做成了。攻擊者通過遠程桌面連接服務器,在登錄界面窗口按下快捷鍵Win+U,選擇運行其中的"放大鏡",即可在服務器上創建一個管理員用戶bdtest并打開放大鏡工具,然后攻擊者就通過該帳戶登錄服務器。當然,攻擊者在斷開登錄前會刪除所有與該帳戶相關的信息,以防被管理員發現。
防范措施:
進入%Windir%\system32l查看magnify.exe的文件圖標是否是原來的放大鏡程序的圖標,如果不是的話,極有可能被植入了放大鏡后門。當然,有的時候攻擊者也會將其文件圖標更改為和原放大鏡程序的圖標一樣。此時可以查看magnify .exe文件的大小和修改時間。如果這兩項有一項不符,就需要慎重檢查了。可以先運行magnify .exe,然后運行lusrmgr.msc,查看是否有可疑的用戶。如果確定服務器被放置了放大鏡后門,首先要刪除該文件,然后恢復正常的放大鏡程序。當然,也可以做得更徹底一些,用一個無關緊要的程序替換放大鏡程序。
與放大鏡后門類似的還有"粘滯鍵" 后門,按Shit鍵五次可以啟動粘滯鍵功能,其利用和防范措施與放大鏡后門類似,只是將magnity .exe換成了sethc exe。
組策略后門
相對來說,組策略后門更加隱蔽。向注冊表中添加相應鍵值以實現隨系統啟動而運行時木馬常用的伎倆,也為大家熟知。其實,在組策略中也可以實現該功能,還可以實現在系統關機時進行某些操作。這是通過組策略的" 腳本(啟動/關機)"項來實現。具體位置在"計算機配置——Windows設置"項下。因為其極具隱蔽性,常常被攻擊者用來做服務器后門。
只要攻擊者獲得了電腦的控制權,就可以通過這個后門實施對主機的長期控制。它可以通過這個后門運行某些程序或者腳本,比如創建一個管理員用戶。
1.創建腳本
創建一個批處理文件add.bat,名為bdtest$ ,密碼為test。
@echo off & net user bdtest$ test /add && netlocalgroup administratrators gbtes$t /add & exit
2.后門利用
在"運行"對話框中輸入gpedit.msc,定位到"計算機配置——Windows設置——腳本(啟動/關機)",雙擊右邊窗口的"關機",在其中添加add bat,可在系統關機時創建bdtest用戶。一般的用戶根本不知道系統中有一個隱藏用戶,就算看見并且刪除了該帳戶,當系統關機時又會創建該帳戶。所以說,如果用戶不知道組策略中的這個地方,那一定會感到莫名其妙。
其實,對于組策略中的這個"后門"還有很多利用方法。攻擊者通過它來運行腳本或者程序,嗅探管理員密碼等。當獲取了管理員的密碼后,就不用在系統中創建帳戶了,可以直接利用管理員帳戶遠程登錄系統。因此它也是"雙刃劍"。當用戶因被攻擊而莫名其妙時,說不定攻擊者就是通過它實現的。
后門防范操作是很重要的,使用組策略后門的攻擊者利用了管理員的疏忽心理,因為組策略中的"(啟動/關機)腳本"項往往被大家忽略,有些管理員甚至不知道組策略中的這個選項。防范這類后門,也非常簡單,只需打開組策略工具,定位到"腳本(啟動/關機)"項下進行檢查。當然也可以進入system32\GroupPolicy\Machine\Scripts\Startup和GroupPolicy\Machine\Scripts\Shutdown目錄檢查是否有可疑的腳本。
Rookit后門
Rootkit是一個或者多個用于隱藏、控制系統的工具包,該技術被越來越多地應用于一些惡意軟件中,當然攻擊者也往往通過它來制作后門。
1.創建一般帳戶
在命令提示符( cmd.exe )下輸入命令net user bdtest$ test /add。
通過上面的命令建立了一個用戶名為bdtest$,密碼為test的普通用戶。為了實現初步隱藏,在用戶名的后面加了$符號,這樣在命令提示符下通過netuser是看不到該用戶的,當然在"本地用戶和組"及其注冊表的SAM項下可以看到。
2.帳戶非常規提權
下面通過注冊表對bdtest$帳戶進行提權,使其成為一個比較隱蔽(在命令行和" 本地用戶和組"中看不到)的管理員用戶。
打開注冊表編輯器,定位到HKEY_ LOCAL_ MACHINE\SAM\SAM項。由于默認情況下管理員組對SAM項是沒有操作權限的,因此要賦權。右擊該鍵值,在彈出的快捷菜單中執行"權限"命令,然后添加administrators組,賦予其"完全控制"權限,最后刷新注冊表,就能進入SAM項下的相關鍵值了。
定位到注冊表HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users項,單擊000001F4注冊表項,雙擊其右鍵的F鍵值,復制其值,然后單擊00000404注冊表項(該項不一定相同),雙擊其右側的F鍵值,用剛才復制的鍵值進行替換鍵值。
分別導出bdtest$、00000404注冊表項為1.reg和2.reg。在命令行下輸入命令net user bdtest$/del刪除bdtes$用戶,然后分別雙擊1.reg和2.reg導入注冊表,最后取消administrators對SAM注冊表項的訪問權限。這樣就把bdtest$用戶提升為管理員,并且該用戶非常隱蔽,除了注冊表,在命令下及"本地用戶和組"是看不到的。這樣隱藏的超級管理員用戶是入侵者經常使用的,對于一個水平不是很高的管理員來說,很難發現這樣的用戶。這樣的用戶不屬于任何組,但有管理員權限,是可以進行登錄的。
3.高級隱藏帳戶
前面創建的botest$用戶雖然比較隱蔽,但是通過注冊表可以看見。下面利用RootKit工具進行高級隱藏,即在注冊表中隱藏該用戶。
可用的RootKit工具非常多。以Hackerdefende為例進行演示,它是個工具包,其中包含很多工具,隱藏注冊表鍵值只需其中的兩個文件: hxdef100.exe和hxdef100.ini其中hxdef100.ini是配置文件,hxde100 exe是程序文件。打開hxdef100.in文件, 定位到[HiddenRegKeys]項下,添加要隱藏的注冊表鍵值bdtest$和00000404即用戶在注冊表的項,然后保存退出。
運行hxdef100. exe,可以看到bdtest$用戶在注冊表中的鍵值"消失"了,同時這兩個文件也"不見"了。這樣就利用RootKit實現了高級管理員用戶的徹底隱藏,管理員是無從知曉在系統中存在一個管理員用戶的。
防范措施:
通過RootKit創建的后門是極其隱蔽的,除非清除RootKit,不然用其創建的管理員用戶永遠不可能被管理員發現。下面以清除上面的Hackerdefende為例介紹防范措施。
(1)驅動級的掃描
RootKit往往是驅動級別的,因此它比一般的應用程序更加靠近底層,清除起來更加棘手。清除該進程時掃描是必要的。RootKitHookAnalyzer是一款Rookit分析查詢工具, 利用它可以掃描分析出系統中存在的RooKit程序。該工具是英文程序,安裝并運行,單擊界面下方的Analyze按鈕進行掃描分析,列出系統中的RooKit程序,勾選Showhookedservicesonly復選框,可以篩選出RooKitservices。當然,類似的工具還有很多,用戶可以根據自己的需要進行選擇。
(2)查看隱藏進程
RootKit的程序進程往往是隱藏或者嵌入的,通過Windows的"任務管理器"是無法看到的。可以利用強大的進程工具lceSword (冰刃)查看。運行lceSword,單擊"進程" 按鈕,就可以列出當前系統中的進程,其中紅色顯示的是可疑進程,包括hxdef100.exe, 這是剛才運行的RootKit。 在該進程上右擊,在彈出的快捷菜單中執行"結束"命令。這時hxdef100 exe和hxdef100.ini文件出現了,再刷新并查看注冊表,剛才消失的兩個鍵值又重現了。
(3)專業工具查殺
利用lceSword對RooKit進行分析并結束其進程是反RooKit的一種有效方法,但有的時候冰刃并不能分析出RootKit,因此需要比較專業的工具,如卡巴斯基、超級巡警等。
TeInet后門
TeInet是命令行下的遠程登錄工具,不過在服務器管理時使用不多,也常為管理員所忽視。攻擊者在控制一臺服務器后,如果開啟"遠程桌面"進行遠程控制,非常容易被管理員察覺,但是啟動TeInet進行遠程控制卻不容易被察覺。TeInet的默認端口是23,如果開啟,很容易被掃描到,因此攻擊者會更改TeInet端口,從而獨享該服務器的控制權。
1.修改端口
本地修改電腦telnet端口的方法是:執行"開始運行"命令,輸入cmd,打開命令提示符,然后運行命令tintadmn config port=800 ( 800是修改后的telnet端口,為了避免端口沖突不用設置成已知服務的端口)。當然,也可以遠程修改服務器的Telnet端口,在命令提示符下輸入命令:
tlntadmn config \ 192.168.1.10 port=800 -u bdtest$ -P test
\192. 168.1.10對方IP,port=800要修改為的telnet端口,-u指定對方的用戶名,-D指定對方用戶的密碼。
2.遠程登錄
攻擊者在本地運行命令提示符(cemd.exe),輸入命令telnet 192.168.1.10 800,然后輸入用戶名及其密碼,記錄Telnet到服務器。
防范措施:
防范Telnet后門的方法非常簡單,可以通過tlntadmn config port=n命令更改其端口。更徹底的措施是: 運行services.msc,打開服務管理器,禁用Telnet服務。
嗅探后門
這類后門是攻擊者在控制了服務器之后,并不創建新的帳戶,而是在服務器上安裝嗅探工具以竊取管理員的密碼。由于此類后門并不創建新的帳戶,而是通過嗅探獲取的管理員密碼登錄系統,因此隱蔽性極高。如果管理員的安全意識不高并缺乏足夠的安全技能,根本發現不了。
1.安裝嗅探工具
攻擊者將相應的嗅探工具上傳或者下載到對方電腦,然后安裝即可。需要說明的是,這些嗅探工具的體積一般很小,并且功能單一,但是往往被做成驅動形式的,所以隱蔽性極高,很難發現,也不易清除。
2.獲取管理員密碼
嗅探工具對系統進行實時監控。當管理員登錄服務器時,其密碼也就被竊取,然后嗅探工具會將管理員密碼保存到一個txt文件中。當攻擊者下一次登錄服務器后,就可以打開該txt文件并獲取管理員密碼。此后如果登錄服務器,就不用重新創建帳戶,而是直接用合法的管理員帳戶登錄服務器。如果服務器是一個Web,攻擊者就會將該txt文件放置到某個Web目錄下,然后在本地就可以瀏覽查看該文件了。
防范措施:
嗅探后門攻擊者以正常的管理員帳戶登錄服務器,因此很難發現。不過,任何入侵都會留下蛛絲馬跡,可以啟用組策略中的"審核策略",對用戶的登錄情況進行記錄,然后通過事件查看器查看是否有可疑的非法登錄。一個高明的攻擊者通常會刪除或者修改系統日志,因此最徹底的措施是:清除安裝在服務器上的嗅探工具,然后更改管理員密碼。
果你總覺得電腦卡頓,想知道電腦是不是中了木馬病毒,那為師這招你可看好了。
·第一招:最簡單的Win+R打開運行框,輸入msconfig命令,選擇啟動項,查看有無異常的可啟動項和服務項。因為在后門木馬中99%都會注冊自己為系統服務,發現可疑項直接刪除路徑就行。
·第二招:打開cmd窗口,分別輸入這幾個命令,看下最新修改的文件中有沒有可疑的可執行文件或dl文件,這兩個地方都是木馬最喜歡的藏身的地方。
·第三招:在cmd窗口輸入netstat -an,查看有沒有可以或非正常程序的網絡連接。如果有類似于8000等端口就要注意了,8000是灰鴿子的默認端口。