很直观的看到进程的启动联系,如果一台机器感染了杀不掉的顽固木马,有经验的用户做的第一件事情就是禁止掉不相关或者不重要的程序和服务在开机时运行,然后使用“process explorer”观察各个进程的情况,通过svchost.exe启动的dll木马虽然狡猾,但是它释放出exe文件运行时,一切都暴露了:一个svchost.exe服务进程执行了一个ad1.exe,还有比这更明显的吗?
svchost的分组信息位于注册表的“hkey_local_machine\software\microsoft\windows nt\currentversion\svchost”项目,这是svchost加载dll时的分组依据,如果用户发现了一个奇怪的分组信息,那就要提高警惕了。
隐藏技术发展的颠峰:Rootkit木马
随着安全技术的发展和计算机用户群的技术提高,一般的木马后门越来页码:[1] [2] [3] [4] [5] [6] 第5页、共6页 |
