木马虽疯狂,但对付它的方法也有多种,我认为最好的方法是能自己掌握查杀木马的方法。下面用一个实例介绍一种利用系统本身自带的“程序安装事件记录文件”查找木马的方法,希望起到抛砖引玉的作用(该方法只适用Windows 2000/XP/2003)。
“程序安装事件记录文件”的文件名是SETUPAPI.LOG,根据你的系统所在分区不同,在Windows或WINNT目录下,这个文件记录的是机器安装硬件和软件的信息,不管是否安装成功,它都会把这些动作记录在案。由于这些记录很详细,所以文件体积大、内容繁杂。不过只要细心,有耐性,你也会成为逮“马”的高手。以下是我的电脑被感染木马后,截取SETUPAPI.LOG的部分内容。
[2004/11/10 14:01:54 180.1]
#-198 处理的命令行: "E:\Program Files\Internet Explorer\iexplore.exe" -nohome
#-024 正在将文件 "E:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\UVE9O9O5\icyfox[1].exe" 复制到 "E:\Windows\Downloaded Program Files\#.exe"。
#W361 一个未经过签名、签名不正确或 Authenticode(TM) 签名的文件 "E:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\UVE9O9O5\icyfox[1].exe" 将得到安装(策略=忽略)。 错误 87: 参数不正确。
从这些片断中不难看出, 该病毒是通过IE进来的,到达IE临时文件夹后再复制到了IE默认的下载文件夹下进行安装。整个过程都是通过一个脚本文件完成的,包括它自动运行。
此木马在系统中的进程名是HWS.EXE,文件存放在Windows的系统文件夹下。通过文件时间可以看出与SETUPAPI.LOG记录的时间相吻合。它在系统中运行后,IE和注册表被改,而且无法再打开“注册表编辑器”,也无法再导入注册表文件,最后利用工具才解除了注册表禁用,可不一会又回到了原来的状态。种种迹象表明,HWS.EXE不是一个正常的进程。
之后,先在“任务管理器”中将HWS.EXE终止,然后在系统文件夹下删除HWS.EXE文件,再用工具修复IE和注册表,终于把此“马”赶出了系统。
这个木马是以进程方式在系统中运行,相对比较容易被发现。而对于一些插入进程的木马,就要在SETUPAPI.LOG文件中搜索调用系统注册服务的命令REGSVR32.EXE了。
以上我说了利用SETUPAPI.LOG文件查找木马的过程。其实它还有很多有用的地方,如查找软件和硬件故障也大有用武之地。
------------------------------- · 相关文档浏览 · --------------------------------------------------------------------- · 热门文档浏览 · -------------------------------------
