快捷搜索:

Hxdef073后门清理实验过程

前段光阴在灰色轨迹论坛里看到有人发贴扣问关于hxdef073这个后门的清理问题,当时由于我也没有打仗过这类与内核挂钩的后门法度榜样,就想当然的贴出了探求的措施,当然事实上也证清楚明了我的措施是差错的。也便是说当运行了hxdef073.exe后,与hxdef073字样同等的所有文件都邑被暗藏,以致包括hxdef073.rar之类的文件也会被暗藏。以是,在本地路径内是无法找到该文件的,包括在本地映射自己的驱动器,以造访收集驱动器的措施来造访本地驱动器这个措施也不能够让它“显形”。 <============在颁发该文章之前测试了一下这个措施,显然这又是一个想当然的设法主见,这也给了我一个教训,凡事照样以着手为主,不要寄托以往的履历来判断工作,由于无意偶尔候以往的履历也会掉足的。

那么就没有措施能够查杀该后门法度榜样了么?非也,我前面曾经颁发过一篇帖子,讲的是用收集驱动器的要领来探求被暗藏的hxdef073后门的措施,现在再把这篇文章的内容来归纳一下:首先在本地运行了hxdef073法度榜样后,hxdef073就把所有与“hxdef073”字眼同等的法度榜样暗藏了,然后我装上了Mcafee7.0企业版来进行测试,结果就和预想傍边的一样,因为Syscall表的感化,Mcafee7.0根本就检测不出来,当然,在检测之前我把Mcafee进级到了最新版本。然后就从本地去映射该文件所在的驱动器,就和前面文章所说的一样,在收集驱动器下,hxdef073和与“hxdef073”字眼同等的文件都历历在目。

我的设法主见是:这应该是和RPC历程有亲昵的关系。从今朝的后门以及远程节制法度榜样来讲,不管是C/S模型也好,照样得到一个Shell也罢,要应用到RPC远端调用模式来调用远真个办事端,以是在调用的时刻,势必之与必要建立这样的一个RPC的通道(我暂时用通道的字眼来描述RPC)来进行传输调用历程,在进行连接时刻,肯定办事端是要进行事情的,来供给连接办事。以是,这个时刻的防病毒法度榜样就能够侦测的出不停处于静默模式下的办事端法度榜样的事情历程,当然,并不是所有的防病毒法度榜样都能够办到这一点,例如瑞星的查杀能力我就不敢奉承,我现在所讲的只是在Mcafee7.0的测试下的结果。

言归正传,若何来检测出hxdef073这个法度榜样呢?两种措施:一、应用杀毒软件,因为Syscall表的缘故,在这种内核级其余后门眼前,谁最先攻克一个最上位的位置,谁就能够立于不败之地,当然仅仅只是在一次重启之前。以是,在重启之前看不到的hxdef073与“hxdef073”字眼相关的文件在重启后就会裸露在我们目下;二、映射收集驱动器,该措施是RPC的调用历程,以是在前面帖子里讲的措施是能够看的见hxdef073文件以及“hxdef073”相关字眼的文件。应用这两种措施,要把hxdef073法度榜样删除的话,是不能顿时删除的,由于已经在运行了,可以先把hxdef073.ini这个文件先删除掉落,然后在重启过后,就可以把hxdef073法度榜样删除了,由于少了hxdef073.ini这个设置设置设备摆设摆设文件,以是,hxdef073.exe就即是是逝世尸一条了,删除它是很简单的工作了。

我用3389连接上我局域网内的一台实验谋略机并运行了hxdef073.exe(没有设置设置设备摆设摆设过),当然hxdef073与“hxdef073”字眼相关的所有文件都立即“消掉”,然后,我在我本地应用Mcafee7.0进行收集连接杀毒的时刻,文件是找出来了,然则并不显示是病毒法度榜样,任何反映也没有,Mcafee企业版的收集杀毒模式还不能够查杀hxdef073后门。

然则当我在收集驱动器里查看的时刻,不只hxdef073文件以及“hxdef073”字眼相关文件都显示出来,而且Mcafee还发出了警报并查杀了除hxdef073.exe以外的所有文件,由于hxdef073.exe已经在运行了。

以上讲的内容都是在实验测试的情况下做的,以是和外界正常的查杀环境还有很大年夜的进出,比如说,文件改名、不知道hxdef073的路径等等。当然也有其他同伙找出的查杀措施,也能够有效的查杀该法度榜样,但在这帖子里所评论争论的只是我小我所斟酌的查杀措施。

我之以是要写出这样的帖子出来是由于想和大年夜家评论争论一下这种内核级的后门法度榜样的运行以及调用道理,以便于能够发明并查杀这种后门,同时也盼望能够在今后的内核级后门里有所改进。本贴所讲的器械以及事理其实是很简单和粗略,以是假如有所漏掉掉足,还盼望能够得到大年夜家的斧正。

您可能还会对下面的文章感兴趣: