巧用Prol检测系统隐藏进程

　　严格说来，Rootkit是一种手段和机制或者是技术，其目的是为了隐藏恶意程序(包括病毒、间谍软件、特洛伊木马等)免受安全工具和系统管理工具的检测。

　　Rootkit可以将自己隐藏得很深，甚至可以将自己隐藏于系统内核运行，如此一来对它的检测就更加困难。由于它在内核中运行，所以它就可以调整系统中所有应用程序所使用的功能和参数。如Rootkit可以修改反病毒软件、反间谍软件、反Rootkit程序的功能。一些高级的Rootkit可以修改反rootkit或rootkit检测器，使其无法阻止rootkit。这是不是意味着用户们就束手就擒了呢?非也。Rootkit与反Rootkit工具的斗争是此消彼长的关系。任何一种技术在今天可能还奏效，明天可能就会失败。

　　任何Rootkit的一个固有的恶意行为即是隐藏自身，或者是隐藏受害进程。隐藏进程的后果就是即使合法的系统实用程序也无法列出系统中正在执行的进程信息。隐藏进程的固有危险性是安全防御系统(这种系统的运行基于这种假设，即系统正根据所设定的规则运行)看不到插入的进程，从而就会给系统管理员这样一种假象，系统正在安全地正常运行。

　　任何攻击工具的发展趋势都会是将侵入进程隐藏起来。隐藏进程的危险性是很大的，因为这代表着某些恶意代码在你的系统上运行，而你却浑然不知，由此造成的后果可想而知。许多特洛伊木马、病毒、间谍软件、rootkit编写者都使用了同样的技术来隐藏其自身，并且可以让自己长时间地呆在电脑上，而普通的杀毒软件和反病毒机制由于不能对付隐藏的进程对此又无可奈何。因此，找到rootkit隐藏自己的所有方法是防御rootkit威胁的首要一步。　如果你想得到真正的安全，那么，防御隐藏进程必不可少。现在市场上能够检测到隐藏进程的工具是少之又少，而且多数还需要花“银子”，那我们靠什么?

　　笔者在此向各位推荐一个免费的好工具:Procl。通过这个命令行的工具，我们可以使用不同的方法来检测隐藏进程。实际上，它可以在操作系统内的两种水平上(即所谓的ring-3和ring-0)使用不同的方法来检测隐藏进程。一为用户模式的方法，二为内核模式方法。

　　其使用方法也比较简单，一般用法是在Windows命令行中执行：

　　Procl [选项]

　　其中选项有如下几种情况，左侧显示选项，右侧给出的是其功能的说明。

　　-M 丢弃模块信息

　　-H 丢弃句柄信息

　　-T 丢弃线程信息

　　-md5 显示进程计算MD5哈希(hash)

　　-cmd 显示进程的命令行参数

　　-K 禁用内核水平方法

　　-U 　 禁用用户水平方法

　　-?/-h 显示帮助信息

　　例如：

　　ProcL.exe -M -H -T -cmd

　　ProcL.exe -M -H -T -cmd -md5

　　ProcL.exe -M –cmd

　　在读者阅读这篇小文时，一些高级的Rootkit和Rootkit检测技术还在发生和发展着。安全是无止境的，直面挑战是我们义不容辞的责任。