文件捆绑检测

　　既然将木马捆绑在正常程序中一直是木马伪装攻击的一种常用手段，我们就先从这里入手。
MT捆绑克星，看清文件捆绑
　　MT捆绑克星通过分析程序的文件头特征码，可以查看文件是否捆绑了木马，捆绑木马的程序在它的火眼金睛下都将现出原形。
　　MT捆绑克星非常小巧，使用也很简单，运行程序后，点击界面上的“浏览”按钮，浏览选择硬盘中需要进行检测的可执行文件。然后点击界面上的“分析”按钮，捆绑精灵就会自动对程序进行分析了。在中间的窗口中会显示出分析的结果，可以看到文件的大小以及文件头中可执行的头部数，如图1所示。如果有两个或更多的可执行文件头部，那么说明此文件一定是被捆绑过的。
　　在界面中还有程序分析选项，一般勾选分析“文件头”即可，如果想分程序进行全面检测，可再勾上“输入表”项目。

揪出捆绑在程序中的木马
　　如果检测出程序被捆绑了木马，可以用“Fearless Bound File Detector”这个程序来清除其中的木马。
Fearless Bound File Detector运行后浏览选择需要检测的程序或文件，然后点击界面中的“Process”按钮对文件进行分析。很快就可以看到了分析的结果，在中间的窗口中显示结果。
　　　CE050h extra bytes found, starting at offset 3400h.
　　　That means that:
　　　The file contains 843856 bytes of extra data.
　　　Stub size is approximately 13 KB.
　　第一句表示发现了发现捆绑程序及其在程序代码中所处的位置；第二句表示捆绑的程序文件大小。
　　既然发现了这个程序捆绑了木马，我们就要动手清除它了。点击界面上的“Clean File”按钮，弹出警告对话框，询问是否真的要清除文件中被捆绑的程序，因为在清除的过程中有可能对原程序造成破坏。确定清除后，清除工作就开始了，最后在中间的窗口中显示清除操作是否成功，如图2所示。

DLL后门的清除

结束木马进程
　　由于DLL木马是内嵌在进程中的，因此对于进程管理器来说是隐藏的，我们既不能用进程管理器来查找，也无法直接将它停止运行。如果DLL木马是嵌在“explorer.exe”之类的进程中还好办，可以直接宿主进程“explorer.exe”杀掉，但是如果木马是插入了“svchost.exe”之类的关键进程中，就不能指望进程管理器了，可能需要一些附加的工具，比如IceSword等。
　　在IceSword中，右键点击可疑的“svchost.exe”进程，然后选择菜单中的“模块信息”命令，打开DLL模块列表对话窗口。在其中选择可疑的模块后，点击“卸载”按钮即可将DLL木马从进程中删除掉了。如果提示不能卸载的话，可以点击“强行解除”按钮，从进程中强行删除该DLL调用。这时候就可以从“模块文件名”栏中得到DLL文件的路径，然后到文件夹中将DLL木马彻底删除掉。
查找可疑DLL模块
　　然而并不是所有的用户都非常熟悉DLL文件的调用情况，如何从列表中查找出可疑的木马模块呢？可以借助一些工具来帮忙。
　　这里我们推荐ECQ-PS（超级进程王）。这是一款非常强劲的进程管理软件，能查杀各种进程插入型木马，最重要的是，它可以查看进程调用模块，扫描可疑的模块并将其清除掉。
　　运行软件后，在中间的列表窗口中可以看到当前系统中的所有进程，如图3所示。双击其中的某个进程后，可以在下面窗口的“所有模块”标签中，列表显示该进程调用的所有模块信息，包括模块名称、版本和厂商以及创建的时间等。其中，厂商和创建时间信息比较重要，如果是一个系统关键进程如“svchost.exe”，结果调用的却是一个不知名的厂商的模块，该模块很可能存在问题。另外，如果厂商虽然是微软，但创建时间却与其它的DLL模块时间不同，那么也可能是DLL木马。如果对DLL模块不熟悉，不能确定是否是DLL木马的话，可以使用软件的自动扫描可疑DLL模块功能。

　　点击“可疑模块”标签，软件会自动扫描模块中的可疑文件，并在列表中显示出来。另外，在窗口右边点击“导入库”标签，在列表中可以看到当前进程中调用的所有DLL库以及调用函数。双击列表中的可疑DLL模块，可看到调用此模块的进程。一般，每个DLL文件都有多个进程会调用，如果调用此DLL文件的仅仅是某一个进程，也可能是DLL木马。点击“强进删除”按钮，即可将DLL木马从进程中删除掉。

彻底的Rootkit检测

　　谁都不可能时不时地对系统中的端口、注册表、文件、服务等，逐一检测是否有隐藏的木马，可以使用一些特殊的工具进行检测。
用Rootkit Detector清除Rootkit
　　Rootkit Detector是一个Rootkit检测和清除工具，可以检测出多个Windows下的Rootkit，包括大名鼎鼎的hxdef.100。
　　使用方法很简单，在命令行下直接运行程序名“rkdetector.exe”即可。程序运行后，会自动完成上面的一系列隐藏项目检测，查找出系统中正在运行的Rootkit程序及服务，以红色作出标记提醒，并尝试将它清除掉。不过，也许有些Rootkit只能检测而无法成功清除，这时就要用上面介绍的步骤逐一进行清除了。
强大的Knlps
　　相比之下，Knlps的功能更为强大，可以结束正在运行的Rootkit程序。
　　使用时，在命令行下输入“knlps.exe -l”命令，将显示系统中所有隐藏的Rootkit进程及相应的进程PID号。不过遗憾的是，它不会将检测出的Rootkit进程提醒标记显示出来。找到Rootkit进程后，可以使用“-k”参数进行删除。例如找到了“svch0st.exe”的进程及其PID号3908，可以输入命令“knlps.exe -k 3908”将进程中止掉。
　　小提示：虽然当前的Rootkit木马后门进程终止了，但是木马后门程序文件依然还存在，并且是被隐藏的，所以最后还是要通过前面介绍的几个办法进行清除。

克隆账号的检测

　　克隆账号是黑客在肉鸡上建立的具有管理员权限的账号，但是该账号在账号管理器中却显示为Guest组，而且是未启用激活状态。但事实上,黑客完全可以使用此账号登录肉鸡，并进行各种管理员才能进行的操作。管理员在进行安全检查时，看不出丝毫破绽！
　　您是否在担心自己的电脑账号有问题呢？有许多检测账号克隆的工具，比如小榕的CCA.exe等。不过CCA要在命令提示符下运行，因此不太方便操作，在这里为大家介绍一款新的账号克隆检测工具LP_Check。
　　LP_Check的功能与CCA类似，能够轻松检查出系统中的克隆用户，最主要的是它是一个图形化的工具。
　　LP_Check的使用极其简单，直接运行“LP_Check.exe”程序即可。程序运行后会对注册表及“账号管理器”中的用户账号和权限进行对比检测，并给出检测结果。我们在使用了铁血Txca或小榕CA克隆了管理员账号的电脑上运行此工具，可以看到程序检测出了Guest账号有问题，并在列表中以红色三角符号重点标记出来。它会在“Important”中提示，在检测中发现隐藏或克隆的管理员账号，并在“Result”中显示检测出的克隆管理员账号数目。

文章转载地址：http://www.365master.com/kt_article_show.php?article_id=1720&categ_code=10041003