查杀木马病毒的三件利器--Procexp篇

如今的木马、病毒是越来越多，越来越高级，什么网页木马、漏洞攻击、远程注入，令你防不胜防，头痛不已；身边的很多朋友已经是谈马色变了，因为他们都在打传奇，用QQ，要是一不小心，辛辛苦苦打来的装备瞬间不翼而飞，用了几年的QQ突然被盗，不得不说是一件让人气愤又无奈的事情，更有甚者，今天身边的一个朋友为了防黑竟把用了两年的XP给删了，装了个98，让人有点哭笑不得，暂不讨论98是否更安全，但说明木马、病毒已经害人到什么程度了。本人也写过木马程序，且隐蔽性和功能要好于目前大部分木马，但更多的是抱着学习与掌握木马技术的想法来做的，也未公开过。之所以想专门写一篇防杀木马的文章，是因为木马还不像病毒，病毒一般变种的数量有限，且传播速度较快，常用的杀毒软件很快就能加入病毒库，能顺利地进行清除，但木马不一样，木马大部分都是不公开的，即使公开了也还有很长一个周期才会被杀毒软件识别，更重要的是木马一般都隐蔽工作，不会让你查觉，所以一般很难发现自己的机器是否有木马。本文就是教你如何利用工具进行快速地识别系统是否有异常，并快速地找出可疑程序隐藏在何处。当然，要能用好这几个工具也需要一定的基础知识，如端口、协议、进程、动态连接库等，若这些概念还不清楚，请参考网上其它资料。至于如何准确判断是否是木马以及如何清除，还得靠个人的经验和其它一些常识，或可到本人论坛留言，本人也将尽力解答。下面就进入正题：
1、ProceXP
此软件的全称叫 Process Explorer，其实就是进程查看器，可能你会说，Windows的任务管理器里不就有个进程查看器呀，是，但这个东东绝对不是那个能比的，当然，MS也不会让你看到太多的东西，这是肯定的，所以我们才会借助这个工具。程序执行后界面很简单，上半部分显示的就是当前系统里的所有进程，下半部分默认是空白的。现在你可以看到更详细的系统进程列表。如图：

在这儿我们可以看到每个进程的详细情况以及其父子进程的关系，从这儿就可以简单地识别一些可疑的进程，比如被Vchost或Explorer加载的不识别的程序，这时候，你只要在相应的程序上点右键，再点属性，就可以详细地看到该进程的文件位置，启动参数，进程运行状态、是否为服务启动、进程的线程、进程的TCP/IP连接状况（这个尤为重要），及进程的其它安全、环境设置等内容！这个够全了吧，绝大部分程序在这时候就会露出了真实的面目，如存在于硬盘什么位置，启动了什么服务，正在往哪儿连接等，这样为你鉴别木马提供了重要依据，也为一些隐蔽性很强的木马的清除扫清了障碍。如图：

通过上图，你可以很方便地看出该程序连接的远程的IP是什么，可以到www.ip138.com很快就能查出对方可能是什么样的网址，可以进一步确定该程序的合法性。
除此之外，该软件还有一个更为强大的功能，就是它可以列出每个里程加载的所有动态链接库，不明白，：），那没办法，你可以略过此节。方法在进入程序后，默认是查看里程的句柄，这个对我们不是太重要，只要在工具栏点一下有个View DLL的按钮，瞪大眼睛了吗？下面列出了该进程加载的所有DLL文件，为什么强调这个功能，大家应该知道，现在的木马为了隐藏进程，基本都是用了线程插入技术，别说你不知道，难怪你天天查看进程都说，我的电脑没事，其实，嘿嘿…….所以在这儿所有的DLL都显身了，不管你是插入的也好，原来自带的也好。现在你只要在看一下几个关键的进程，如SVCHOST、LEASS、Explorer、Iexplrer，别的自己去试吧，列出DLL后，点一下Company Name排序，这时你就会看到大部分都写着Microsoft Corporation，再点点，若看前面是XXXX.dll，但Company Name栏是空的，呵呵，这个东东你就要好好研究一下了，点右键，打开属性，还可以看到此DLL文件的版本等信息，通过综合判断，你就可以初步判断此DLL是否可疑。如该进程有非法的外连，又出现了这样可疑的DLL加载，你就可以怀疑该进程被加了些不必要的东东了。当然得说明一点，目前大部分的据我知道的木马都是DLL库插入，并且都是插入到Explorer，因为这个比较容易，但也已见到过插入LEASS.EXE进程的木马了，我没写成功，远程插入的时候报拒绝访问，有知道原因的高手请不吝赐教！！所以若是真正的线程插入，不是插入DLL文件，这个办法就无能为力了，就需要借助其他的工具了。