Winhex应用之从文件系统底层清除木马

　　如今，编制病毒和木马的技术门槛变得越来越低，在Vista完全普及以前，人们在Win2000/XP/2003系统上还是主要依靠杀毒软件来进行保护。但是，反病毒厂商有限的病毒工程师在遍及全球的病毒制造者面前疲于奔命的现实，注定了部分小规模流行的病毒和木马将成为“漏网之鱼”。当杀毒软件面对病毒噤若寒蝉、或者干脆就被木马关闭的时候;当单位计算机上存放有重要数据，不能轻易格式化硬盘并重装系统的时候，怎么办?

　　其实，平时常用的工具软件---winhex，完全可以提供强大的对抗病毒/木马的能力。WinHex平时主要用于16进制数据编辑，它也可以用来检查和修复各种文件、恢复删除文件等。它的强大之处在于，可以让你看到存储介质上的所有文件和数据，包括FAT32/NTFS文件系统的配置文件。最关键的是，它具有直接读写硬盘扇区的能力，并在高级安全选项中，可以选择绕开操作系统的进程保护，直接修改进程在磁盘上的的扇区数据。实际上，这个技术和目前市面上许多杀毒软件厂商采用的“底层粉碎顽固rootkit”的原理是一样的。

　　下面，我以一次实际的反病毒案例为大家详细介绍如何巧妙运用winhex的强大功能.(版本不限，笔者用的是14.8版)

　　一台部门的数据服务器，无意中连接到了某电影下载网站，网站主页恶意挂马并运行脚本，导致数分钟内，该数据服务器连续连接数个地址并下载和运行了10几个木马程序，而后自动重启。观察注册表发现，控制自动运行的“run”键和“AppInit_DLLs”下已经被塞满各类木马，见图1和图2。

　　图1

　　图2

　　因该数据服务器内有大量重要软件和数据，不能轻易格式化硬盘和重装系统。此时，系统中所带的某国产著名杀毒软件被木马关闭，双击无法打开;系统文件crugd.dll被损坏(桌面右下角反复提示);察看隐藏文件和系统文件被木马禁止;与木马有关的注册表相关选项均被锁定----典型的“狠角色”。于是使用winhex，直接从磁盘文件系统入手进行对抗。

　　对抗步骤：

　　1.执行winhex，点击"Tools"->"Open Disk.." 打开操作系统所在的驱动器盘符，该数据服务器为C盘。winhex会很快对全盘进行遍历，并根据不同的文件系统类型生成包含所有文件的多级浏览，包括NTFS特有的MFT文件和FAT32特有的FAT文件等等均可以看见。根据在注册表中的木马信息提示，双击进入windows和windowsfontsyn-XX-XX-XX-XX-XX-XXsystem目录，可发现所有被隐藏的木马程序，如图3和图4所示：

　　图3

　　图4

　　接下来是整个处理步骤的关键。单击其中某一个木马程序名，在winhex的右下角数据区域会发可执行程序特有的“MZ...PE”等标志，如图5所示。鼠标点中该区域上的数据，此后在键盘上随意按键，修改之后的20--30个字节内容，破坏程序完整性即可，如图6所示。此时，木马已经被破坏，无法再次执行。为保险起见，彻底根除木马，右键单击木马文件名，选取其中的“position”->"Go To FILE Record"选项，这样winhex右下角将出现木马程序在NTFS或FAT文件系统中的文件记录信息，包括文件名等，也对其进行小幅度修改，使操作系统在重启后找都找不到该木马文件，如图7所示。但此处危险性较高，一旦改得太多，将破坏文件系统记录的完整性，直接导致其他重要文件的“失踪”。因此，这后面一步，请慎重使用。

　　图5

　　图6

　　图7

　　至此，隐藏的其中一个木马/病毒就被迅速的干掉了，其余的，根据注册表中的信息，挨个儿收拾就可以了。再重启系统，发现所有木马既没有自动运行，又彻底消失，改回注册表相关键值，系统完全恢复。这种方法，针对木马文件直接入手，有的放矢，提高了清除的准确性和效率。

　　对于高级用户和反病毒工作者，还有两点要注意的地方：

　　1.某些更厉害的木马、病毒，甚至一些安全监控软件，都以rootkit的形式以内核状态运行，受到操作系统保护，上面的第2步修改时，winhex会报错而无法修改。这时，选择“options”->"Edit Modes",在阅读了自动弹出的帮助提示后，在“select Mode”对话框中选择“In-Place Mode...”，这样将使winhex进入绕开操作系统直接写硬盘扇区的模式，如图8所示。此后再修改任何文件，包括windows运行所必须的文件时，都不会报错了。但是，正如winhex的帮助文件所提到的，这种操作危险性极大，操作不当，甚至可以直接导致操作系统崩溃。

　　图8

　　2.winhex还可以在木马正在运行的条件下对隐藏的木马程序进行采样，以便于以后的跟踪和分析。右键单击木马文件名，选择“Recover/Copy..”,再在弹出的对话框中确定准备将木马存放的目录，就可以在不破坏木马完整性的情况下对其进行采样了，如图9所示。

　　图9