扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
其实,平时常用的工具软件---winhex,完全可以提供强大的对抗病毒/木马的能力。WinHex平时主要用于16进制数据编辑,它也可以用来检查和修复各种文件、恢复删除文件等。它的强大之处在于,可以让你看到存储介质上的所有文件和数据,包括FAT32/NTFS文件系统的配置文件。最关键的是,它具有直接读写硬盘扇区的能力,并在高级安全选项中,可以选择绕开操作系统的进程保护,直接修改进程在磁盘上的的扇区数据。实际上,这个技术和目前市面上许多杀毒软件厂商采用的“底层粉碎顽固rootkit”的原理是一样的。
下面,我以一次实际的反病毒案例为大家详细介绍如何巧妙运用winhex的强大功能.(版本不限,笔者用的是14.8版)
一台部门的数据服务器,无意中连接到了某电影下载网站,网站主页恶意挂马并运行脚本,导致数分钟内,该数据服务器连续连接数个地址并下载和运行了10几个木马程序,而后自动重启。观察注册表发现,控制自动运行的“run”键和“AppInit_DLLs”下已经被塞满各类木马,见图1和图2。
图1
图2
因该数据服务器内有大量重要软件和数据,不能轻易格式化硬盘和重装系统。此时,系统中所带的某国产著名杀毒软件被木马关闭,双击无法打开;系统文件crugd.dll被损坏(桌面右下角反复提示);察看隐藏文件和系统文件被木马禁止;与木马有关的注册表相关选项均被锁定----典型的“狠角色”。于是使用winhex,直接从磁盘文件系统入手进行对抗。
对抗步骤:
1.执行winhex,点击"Tools"->"Open Disk.." 打开操作系统所在的驱动器盘符,该数据服务器为C盘。winhex会很快对全盘进行遍历,并根据不同的文件系统类型生成包含所有文件的多级浏览,包括NTFS特有的MFT文件和FAT32特有的FAT文件等等均可以看见。根据在注册表中的木马信息提示,双击进入windows和windows\font\syn-XX-XX-XX-XX-XX-XX\system目录,可发现所有被隐藏的木马程序,如图3和图4所示:
图3
图4
2. 接下来是整个处理步骤的关键。单击其中某一个木马程序名,在winhex的右下角数据区域会发可执行程序特有的“MZ...PE”等标志,如图5所示。鼠标点中该区域上的数据,此后在键盘上随意按键,修改之后的20--30个字节内容,破坏程序完整性即可,如图6所示。此时,木马已经被破坏,无法再次执行。为保险起见,彻底根除木马,右键单击木马文件名,选取其中的“position”->"Go To FILE Record"选项,这样winhex右下角将出现木马程序在NTFS或FAT文件系统中的文件记录信息,包括文件名等,也对其进行小幅度修改,使操作系统在重启后找都找不到该木马文件,如图7所示。但此处危险性较高,一旦改得太多,将破坏文件系统记录的完整性,直接导致其他重要文件的“失踪”。因此,这后面一步,请慎重使用。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者