別具一格木馬監控術

木馬雖然對系統安全危害很大，不過從本質上說，木馬其實就是一種特殊的程序而已。木馬運行后，會執行釋放文件、修改注冊表等操作。從某種意義上說，這和安裝程序（例如常見的“setup.exe”、“Install.exe”等）的特點有些相似。現在有很多針對安裝程序的監控工具，可以將安裝程序的活動全部記錄下來，包括其創建的文件、對系統的所有修改操作等等。其本意是以后當卸載該軟件時，可以根據這些記錄信息，讓其從系統中干凈徹底地消失。其實，將這些監控工具用在對木馬行為的分析上，同樣可以發揮很大的作用，讓木馬的所有舉動徹底暴露在您的面前。這樣的監控工具有很多，例如Total Uninstall、Install Watch等。這里就以Install Watch為例，來說明具體的操作方法。

圖5 配置監控環境

圖6 查看木馬活動監控信息

圖7 查看注冊表變動信息

我們將木馬程序和Install Watch全部放入虛擬機中，先安裝并運行Install Watch，在其主界面工具欄上點擊“安裝”按鈕，在彈出窗口中點擊“配置”按鈕，在配置窗口（如圖5所示）中勾選“掃描所有的硬盤驅動器”項，可以掃描所有的磁盤。不過為了加快掃描的速度，可以只保留系統盤。在“要跟蹤其內容更改情況的問價擴展名”欄右側點擊“添加”按鈕，添加需要監控的文件類型，您可以根據實際需要添加任意文件類型。在下一步窗口中可以添加忽略的文件類型，這些類型的文件不在掃描檢測行列，依次點擊下一步按鈕，執行第一次磁盤掃描操作。當掃描完畢后，彈出程序運行窗口，選擇木馬程序“winserver.exe”，點擊下一步按鈕，執行該木馬程序。之后點擊下一步按鈕，Install Watch對預設磁盤執行第二次掃描操作，完畢后輸入本次檢測的項目名稱，至此對該木馬程序的監控結束。此外，當木馬運行后，自身就消失了，由此可見，該木馬具有自毀功能。

在Watch Install主界面左側選擇本檢測項目的名稱，在窗口右側顯示在監控期間，系統所有的變動信息（如圖6所示）。例如，在本例中新建了4個文件、刪除了2個文件、更改了18個文件、在注冊表新建了105個條目、刪除了4個條目、更新了49個條目等。選中該檢測項目名稱，其下包括“所有文件”、“INI文 件”、“注 冊表”等項目。選擇“所有文件”項，在窗口右側顯示所有的文件變動情況。為了便于分析，其中還分為“添加的文件”、“刪除的文件”、“修改的文件”等項目。在“注冊表”節點下包括“添加的注冊表”、“刪除的注冊表”以及“刪除的注冊表條目”等項。在其中仔細檢測，很快就發現了木馬的行蹤。選擇“添加的文件”項，在右側的統計信息中可以看到，該木馬在“C:Program FilesCommon FilesMicrosoft SharedMSInfo”文件夾下創建了名為“rundll_32.exe”的文件。

注意：其處于隱藏狀態，無法直接觀察到。在“C:WindowsSystem32”文件夾中生成了名為“_rundll_32.exe”的文件。

在監控項目下面選中“注冊表”→“添加的注冊表” →“HKEY_LOCAL_MACHINE”分支，在窗口右側可以看到，該木馬創建了名為“Network Manger Agent”的系統服務，在其描述信息中顯示“網絡管理實用工具”字樣，起到迷惑用戶的目的（如圖7所示）。根據以上分析數據，我們可以很清楚地了解了該木馬的活動特點，這樣清除起來就容易多了。啟動感染了該木馬的主機，進入安全模式后先終止“Network Manager Agent”服務的運行，然后使用IceSword、Wsyscheck等工具將木馬主文件“rundll_32.exe”、“_rundll_32.exe”刪 除，最后刪除木馬創建的假冒服務，重啟系統后，該木馬就徹底消失了。