如今,编制病毒和木马的技术门槛变得越来越低,在Vista完全普及以前,人们在Win2000/XP/2003系统上还是主要依靠杀毒软件来进行保护。但是,反病毒厂商有限的病毒工程师在遍及全球的病毒制造者面前疲于奔命的现实,注定了部分小规模流行的病毒和木马将成为“漏网之鱼”。当杀毒软件面对病毒噤若寒蝉、或者干脆就被木马关闭的时候;当单位计算机上存放有重要数据,不能轻易格式化硬盘并重装系统的时候,怎么办?
其实,平时常用的工具软件---winhex,完全可以提供强大的对抗病毒/木马的能力。WinHex平时主要用于16进制数据编辑,它也可以用来检查和修复各种文件、恢复删除文件等。它的强大之处在于,可以让你看到存储介质上的所有文件和数据,包括FAT32/NTFS文件系统的配置文件。最关键的是,它具有直接读写硬盘扇区的能力,并在高级安全选项中,可以选择绕开操作系统的进程保护,直接修改进程在磁盘上的的扇区数据。实际上,这个技术和目前市面上许多杀毒软件厂商采用的“底层粉碎顽固rootkit”的原理是一样的。
下面,我以一次实际的反病毒案例为大家详细介绍如何巧妙运用winhex的强大功能.(版本不限,笔者用的是14.8版)
一台部门的数据服务器,无意中连接到了某电影下载网站,网站主页恶意挂马并运行脚本,导致数分钟内,该数据服务器连续连接数个地址并下载和运行了10几个木马程序,而后自动重启。观察注册表发现,控制自动运行的“run”键和“AppInit_DLLs”下已经被塞满各类木马,见图1和图2。
图1
图2
因该数据服务器内有大量重要软件和数据,不能轻易格式化硬盘和重装系统。此时,系统中所带的某国产著名杀毒软件被木马关闭,双击无法打开;系统文件crugd.dll被损坏(桌面右下角反复提示);察看隐藏文件和系统文件被木马禁止;与木马有关的注册表相关选项均被锁定----典型的“狠角色”。于是使用winhex,直接从磁盘文件系统入手进行对抗。
对抗步骤:
1.执行winhex,点击"Tools"->"Open Disk.." 打开操作系统所在的驱动器盘符,该数据服务器为C盘。winhex会很快对全盘进行遍历,并根据不同的文件系统类型生成包含所有文件的多级浏览,包括NTFS特有的MFT文件和FAT32特有的FAT文件等等均可以看见。根据在注册表中的木马信息提示,双击进入windows和windows\font\syn-XX-XX-XX-XX-XX-XX\system目录,可发现所有被隐藏的木马程序,如图3和图4所示:
图3
图4
