站长资讯通告:
写这个文章主要是因为很多人都受苦于各种SpyWare的困扰,现在的Spy太多太多了,而很多杀毒软件由于各种原因并不能完全查杀Spyware,而且现在的SpyWare的开发也开始越来越向底层发展,以后的清除会越来越困难,希望这个文章能够给大家 一点帮助.当然我不是系统专家,连操作系统的课都没上过,这儿只是一些实际的应用,希望这个文章能钩出一些内核骨灰鸟们出来说说,呵呵.
首先是希望大家在清楚木马,SpyWare之前要有心理准备,那就是不能过于放松,大意,也不能过于担心害怕.只要找对方法,木马,Spy很快就可以被清除的.另外就是绝对不要相信你的杀毒软件,Never trust your AV!!!
为了方便阐述,讲下文章的思路,SpyWare现在基本可以分成几个类型:
第一类是文件+注册表自动启动的进程模式,这个类型的Spy很容易清楚,而且现在也有很多专门对付这类Spy的软件了,大家碰到这种Spy完全不必担心,用HijackThis或者MS的AntiSpy就可以完美解决,稍后就说具体解决方法.
第二类是服务类,这类Spy比较少见,后门比较多一点用这种方法,这个也没什么,平时多注意看一下服务管理器里面有没有可疑的服务就OK了.
第三类是BHO无进程型,这类常称为浏览器劫持Spy,也就是Hijack,这类主要是通过修改注册表的BHO信息(HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Expl orer\Browser Helper Objects),使得你一打开浏览器就激活Spy,这一类也比较容易解决,前面说的两个软件也基本可以完美解决.
第四类是LSP(Layered Service Provider)-SPI(Service Provider Interface)无进程型,这一类的特点是可以通过底层来截获网络数据流,代表是臭名昭著的CoolWebSearch.Msspi,当年很多人都没有发现他的原理(一打开著名搜索引擎的搜索就跳出广告窗口),后来发现是私加了LSP,这个也有专门工 具可以轻松解决.
第五类是SSDT(System Service Dispath Table) Hook无进程型,这类是通过修改系统服务调度表来进行对系统服务调用的Hook,看似比较麻烦,比较底层,但是是有方法解决的,而且也不是很麻烦.国内的CNNIC的客户端就是使用了这种方法,很是无耻.而且使用个ahook.dll,这个名字起的真是 傻的一塌糊涂.
第六类是终极杀手,内核态Hook,这个目前有些rootkits有用这个,spy和trojan似乎还没有用这个的,呵呵,这个需要手动分析过滤驱动层和kernel patch,引用某牛人的话说就是:"若你不熟的话不如重装系统".
本文目的就是方便大家解决前5类的Spy,Trojan,对于第六类我实在是功力不够的说......
下面先来一些引论,第一个是请大家下载Icesword 1.06,这个是国内最顶级内核高人Pjf忙里偷闲的大作,对于我们整个文章是一个基础的作用,没有这么好的工具就没有这篇文章里面的简单的方法.而且Icesword是目前为止最有效的进程查看端口查看软件,还没有隐蔽进程,隐藏端口,隐藏文件,隐藏注 册表项能躲过IceSword的法眼.需要注意的是请使用过旧版本的同学在运行1.06之前先重启一下,再运行1.06,不同版本混用可能导致系统崩溃.而且运行Icesword后也不要运行Softice等调试器了,很容易崩溃.
第二个引论是请大家学会如何"删除"正在被使用的文件.因为很多spy,trojan都是无进程DLL形式的,总不好都去进程里面卸载吧,麻烦,还是删除吧,而直接删除是不行的,某些同学说的用WINRAR压缩在压缩选项上选上压缩完成后删除这个方法也是常常没有效果的,下面介绍两个方法:
1.使用Icesword 1.06,到Icesword的文件那个栏目里面,随便选一个文本文件,点右键选复制,在弹出的文件框里选到你需要删除的文件的目录里面,然后在文件名里面输入那个待删除文件的文件名,点确定,不会有是否替换的提醒,那个待删除文件已经被你开始选择的文本 文件所替换了.不过现在还不能删除,等到你做完其他事情以后重启一下,就可以删除了.
下载IceSword
2.使用CopyLock,这个程序的使用非常简单,原理和Icesword基本是一样的,都是需要重启的,但是有时两个的效果却不大相同,配合着用比较好.CopyLock用的比较多的是Files to Replace,这个的用法是比如要替换掉c:\windows\system32\drivers\ahook.sys文件,那么在某个目录建立一个名为ahook.sys的数字节的文本文件,然后Add files里面选上这个文件,再选择目标目录(Destination folder)为c:\windows\system32\drivers,最后点下Apply,重启,就OK了.
下载CopyLock
3.好了,现在大家知道如何删除"正在使用的文件"了,下面转入正题,对于第一类第二类的Spy完全可以通过HijackThis删除,现在出到1.99了,可以完美查出很多Spy,但是由于一些Spy使用的后面几类的方法因此要清除还是比较困难的.
下载HijackThis
对于第三类Spy,可以通过Icesowrd的查看列里面的BHO选项查看,我的系统比较干净,一个都没有,如果你的机器有一些乱七八糟的东西,那么就要小心了.非常有可能就是Spy.如果要清除那么需要手动删除注册表,HijackThis也会查出来, 能自动删除,比较方便.但是可能你会发现怎么我刚刚删除等一会他又出来了?不急不急往下看.
下面是第四类LSP,这一类可以通过IceSword的SPI栏目里面看到,mswsock.dll,rsvpsp.dll,这两个是winsock2的dll,是正常的,如果你有其他的比如msspi.dll那么恭喜,你中CoolWebSearch. msspi的spy了,清楚方法一个是按照Icesword的注册表路径手动删除,然后用引论里面的方法删除那个DLL文件.另一个方法是用lspfix这个工具来修改REG,至于删除DLL还是要自己动手的,呵呵.
正常的SPI DLL:msafd.dll,mswsock.dll,rnr20.dll,rsvpsp.dll,wspwsp.dll,winrnr.dll
下载lspfix
另外再提供一个专杀CWS(CoolWebSearch)类Spy的工具CWShredder,目前版本2.11,非常好的工具,CWS的spy太可恨了,呵呵.
下载CWShredder
下面是第五类的修改SSDT的spy,就拿CNNIC来当靶子(用IE开CNNIC等着装插件竟然假死半分钟,郁闷),打开Icesword1.06,进入SSDT选项,可以看到有两个是红色的,ntoskrnl是正常的,而其中一个红色的d346bus .sys这个其实也不是spy,这个是Daemon Tools(虚拟光盘的)的,是正常的,我们要关心的是那个红色的ahook.sys,这个就是CNNIC的杰作,二话不说,用引论里面的方法删除这个sys文件,然后重启,再用HijackThis扫描一遍删除BHO和相关注册表,文件等,基本就解决了 ,是不是很简单?
最后要说的一点就是如果大家发现在清除后重启不能上网了,那么可能是由于你破坏了Winsock2的SPI,可以通过这个工具来修复.
下载WinsockxpFix
至此,本文结束,期待牛牛们能来补充,谢谢!
首先是希望大家在清楚木马,SpyWare之前要有心理准备,那就是不能过于放松,大意,也不能过于担心害怕.只要找对方法,木马,Spy很快就可以被清除的.另外就是绝对不要相信你的杀毒软件,Never trust your AV!!!
为了方便阐述,讲下文章的思路,SpyWare现在基本可以分成几个类型:
第一类是文件+注册表自动启动的进程模式,这个类型的Spy很容易清楚,而且现在也有很多专门对付这类Spy的软件了,大家碰到这种Spy完全不必担心,用HijackThis或者MS的AntiSpy就可以完美解决,稍后就说具体解决方法.
第二类是服务类,这类Spy比较少见,后门比较多一点用这种方法,这个也没什么,平时多注意看一下服务管理器里面有没有可疑的服务就OK了.
第三类是BHO无进程型,这类常称为浏览器劫持Spy,也就是Hijack,这类主要是通过修改注册表的BHO信息(HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Expl orer\Browser Helper Objects),使得你一打开浏览器就激活Spy,这一类也比较容易解决,前面说的两个软件也基本可以完美解决.
第四类是LSP(Layered Service Provider)-SPI(Service Provider Interface)无进程型,这一类的特点是可以通过底层来截获网络数据流,代表是臭名昭著的CoolWebSearch.Msspi,当年很多人都没有发现他的原理(一打开著名搜索引擎的搜索就跳出广告窗口),后来发现是私加了LSP,这个也有专门工 具可以轻松解决.
第五类是SSDT(System Service Dispath Table) Hook无进程型,这类是通过修改系统服务调度表来进行对系统服务调用的Hook,看似比较麻烦,比较底层,但是是有方法解决的,而且也不是很麻烦.国内的CNNIC的客户端就是使用了这种方法,很是无耻.而且使用个ahook.dll,这个名字起的真是 傻的一塌糊涂.
第六类是终极杀手,内核态Hook,这个目前有些rootkits有用这个,spy和trojan似乎还没有用这个的,呵呵,这个需要手动分析过滤驱动层和kernel patch,引用某牛人的话说就是:"若你不熟的话不如重装系统".
本文目的就是方便大家解决前5类的Spy,Trojan,对于第六类我实在是功力不够的说......
下面先来一些引论,第一个是请大家下载Icesword 1.06,这个是国内最顶级内核高人Pjf忙里偷闲的大作,对于我们整个文章是一个基础的作用,没有这么好的工具就没有这篇文章里面的简单的方法.而且Icesword是目前为止最有效的进程查看端口查看软件,还没有隐蔽进程,隐藏端口,隐藏文件,隐藏注 册表项能躲过IceSword的法眼.需要注意的是请使用过旧版本的同学在运行1.06之前先重启一下,再运行1.06,不同版本混用可能导致系统崩溃.而且运行Icesword后也不要运行Softice等调试器了,很容易崩溃.
第二个引论是请大家学会如何"删除"正在被使用的文件.因为很多spy,trojan都是无进程DLL形式的,总不好都去进程里面卸载吧,麻烦,还是删除吧,而直接删除是不行的,某些同学说的用WINRAR压缩在压缩选项上选上压缩完成后删除这个方法也是常常没有效果的,下面介绍两个方法:
1.使用Icesword 1.06,到Icesword的文件那个栏目里面,随便选一个文本文件,点右键选复制,在弹出的文件框里选到你需要删除的文件的目录里面,然后在文件名里面输入那个待删除文件的文件名,点确定,不会有是否替换的提醒,那个待删除文件已经被你开始选择的文本 文件所替换了.不过现在还不能删除,等到你做完其他事情以后重启一下,就可以删除了.
下载IceSword2.使用CopyLock,这个程序的使用非常简单,原理和Icesword基本是一样的,都是需要重启的,但是有时两个的效果却不大相同,配合着用比较好.CopyLock用的比较多的是Files to Replace,这个的用法是比如要替换掉c:\windows\system32\drivers\ahook.sys文件,那么在某个目录建立一个名为ahook.sys的数字节的文本文件,然后Add files里面选上这个文件,再选择目标目录(Destination folder)为c:\windows\system32\drivers,最后点下Apply,重启,就OK了.
下载CopyLock3.好了,现在大家知道如何删除"正在使用的文件"了,下面转入正题,对于第一类第二类的Spy完全可以通过HijackThis删除,现在出到1.99了,可以完美查出很多Spy,但是由于一些Spy使用的后面几类的方法因此要清除还是比较困难的.
下载HijackThis对于第三类Spy,可以通过Icesowrd的查看列里面的BHO选项查看,我的系统比较干净,一个都没有,如果你的机器有一些乱七八糟的东西,那么就要小心了.非常有可能就是Spy.如果要清除那么需要手动删除注册表,HijackThis也会查出来, 能自动删除,比较方便.但是可能你会发现怎么我刚刚删除等一会他又出来了?不急不急往下看.
下面是第四类LSP,这一类可以通过IceSword的SPI栏目里面看到,mswsock.dll,rsvpsp.dll,这两个是winsock2的dll,是正常的,如果你有其他的比如msspi.dll那么恭喜,你中CoolWebSearch. msspi的spy了,清楚方法一个是按照Icesword的注册表路径手动删除,然后用引论里面的方法删除那个DLL文件.另一个方法是用lspfix这个工具来修改REG,至于删除DLL还是要自己动手的,呵呵.
正常的SPI DLL:msafd.dll,mswsock.dll,rnr20.dll,rsvpsp.dll,wspwsp.dll,winrnr.dll
下载lspfix另外再提供一个专杀CWS(CoolWebSearch)类Spy的工具CWShredder,目前版本2.11,非常好的工具,CWS的spy太可恨了,呵呵.
下载CWShredder下面是第五类的修改SSDT的spy,就拿CNNIC来当靶子(用IE开CNNIC等着装插件竟然假死半分钟,郁闷),打开Icesword1.06,进入SSDT选项,可以看到有两个是红色的,ntoskrnl是正常的,而其中一个红色的d346bus .sys这个其实也不是spy,这个是Daemon Tools(虚拟光盘的)的,是正常的,我们要关心的是那个红色的ahook.sys,这个就是CNNIC的杰作,二话不说,用引论里面的方法删除这个sys文件,然后重启,再用HijackThis扫描一遍删除BHO和相关注册表,文件等,基本就解决了 ,是不是很简单?
最后要说的一点就是如果大家发现在清除后重启不能上网了,那么可能是由于你破坏了Winsock2的SPI,可以通过这个工具来修复.
下载WinsockxpFix至此,本文结束,期待牛牛们能来补充,谢谢!
文章评论:
[
查看全部 ] 网友评论