大家都知道現在很多黑客軟件、外掛軟件都存在後門程序的捆綁,而且有些黑客喜歡在你的電腦上植入一些遠程木馬,遠程控制你的計算機,下面小編就為大家講解簡單的反黑客遠程控制的方法
後門程序是指那些繞過安全性控制而獲取對程序或系統訪問權的程序方法。一般在軟件開發時,程序員會在軟件中創建後門程序,這樣就可以修改程序設計中的缺陷。但是,如果這些後門被其他人知道,或是在發佈軟件之前沒有刪除後門程序,那麼它就成了安全風險,容易被黑客當成漏洞進行攻擊。通俗的講,後門程序就是留在計算機系統中,供某位特殊使用者通過某種特殊方式控制計算機系統的途徑。
一、遠程控制的兩個通性
(1)任何一款的遠程控制技術都必須與目標(被控端)建立至少一個TCP或者UPD連接。如果黑客未上線,則會每隔30秒向黑客發起連接請求。
(2)任何一款遠控木馬都會向系統寫入至少一個隨機啟動項、服務啟動項,或者劫持某個系統必備的正常啟動項。並且會在某個目錄中隱、釋放木馬。以方便隨機啟動。
二、基於遠控通性反遠程控制法——兩條命令判斷是否被控制
1.最簡單的方法就是通過兩條命令,一條是“netstat “ 。另一條就是“tasklist “命令,這兩條命令可真為是絕配的反黑客遠控的方法啊。首先我們就在虛擬機中測試,在本機使用灰鴿子主控端生成一個木馬放入到虛擬機中運行。
更多關注:黑客冰峰
2.確認虛擬機已經中了我們的遠控木馬之後我們開始執行第一條命令,首先大家先在聯網的情況,把所有聯網的程序都關閉,包括殺毒軟件、QQ、迅雷、等存在聯網的程序關閉,保存最原始的進程。這樣很方便我們識別。再次打開開始菜單——運行——輸入“cmd”。進入到黑色的DOS窗口下,輸入命令“netstat -ano“。這條命令的意思是查看當前網絡的連接狀態。輸入之後我們查看中主要看”state”的狀態,如果是“listenning”是端口的監聽這個可以放心,如果是“ESTABLISHED”可要注意了,這個狀態意思是正在連接!我們肯定會想,我們都沒開任何程序在聯網,何來正在與遠程主機連接呢?下面是中了遠程控制木馬的虛擬機中網絡連接狀態。
更多關注:黑客冰峰
3.此時捕捉到正在連接的狀態的最後一行PID值為:3920,這就是我們說的遠控至少與目標建立一個TCP或UDP連接,而這裡建立了一個TCP連接,並且仔細看下,“Foregin Address”意思是外網地址,這個IP地址可以百度進行查詢下就可以知道是哪個地區的人在控制我們的電腦,再仔細看下IP地址後面的端口為:8000,現在很多主流的遠程軟件都是8000或者80端口,這又更值得懷疑了。這樣我們就可以查看進程,因為木馬要想進行連接就必定會在內存中進行運行,否則就無法進行連接了,我們查看內存中可疑的進程,上面捕獲的連接PID為:3920。我們輸入命令“tasklist /svc“這條命令是查看當前進程與PID值和啟動的服務。
更多關注:黑客冰峰
4.通過上面的命令找到了網絡連接對應的PID值進程3920,並且發現該進程名是一個IE的進程,很明顯這就有問題,因為我們根本沒打開瀏覽器,何來IE進程呢?果斷的就知道它的一個遠程控制木馬偽裝的進程。我們應該馬上去進行一個查殺掉該進程,從內存中幹掉它。我們輸入命令“taskkill /f /pid 3920” 這條命令是強制結束PID值為3920的進程。當我們強制結束掉了木馬之後發現主控端遠程控制軟件上的肉雞馬上就下線了。這樣黑客就無法進行控制了。
更多關注:黑客冰峰
5.在這裡說明,我們只是暫時現在已經讓黑客無法控制我們的電腦,結束了它的遠程控制的連接程序。但是我們要知道遠程控制的第二個通性,就是遠程控制軟件為了讓對方能夠重啟系統後繼續在黑客的遠控軟件上面上線,就必須會在被控者的電腦上寫入一個隨機啟動項,這個隨機啟動項就是當系統啟動的時候立馬運行木馬,運行了木馬就可以再次上線。所以我們還需要檢測我們的啟動項。很多啟動項都是寫入註冊表的,我們這裡給大家列出一些木馬可能寫入的啟動鍵值。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon 下的shell鍵值
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows 下的load鍵值
以上是我們列舉出的木馬可能會存在自啟動的註冊表鍵值,其中第一個可以通過運行“msconfig”看到的。經過我們的仔細查看了所有存在可能的隨機啟動項發現沒有任何異常,此時我們就要注意,是否是以服務的方式啟動呢?下面我們就去檢查可以的服務,經過多次對服務的分析,我們查看到有一個名字為“Rising RavTask Manage.”的進程可疑,因為過它的啟動程序是藏在“C:\WINDOWS\Rising\svchot.exe”的程序,看過我前面的技術文章
《Svchost.exe進程的分析》就一下能判斷出這就是偽裝類似svchost文件,我們找到該目錄後就會發現該文件還是個系統隱藏的文件,那就更可疑了,一個程序還設置為系統隱藏!可疑!正常情況下除去系統重要文件會隱藏,如果你對系統有足夠的瞭解,看的出非系統文件居然隱藏!絕對是很可疑的,這時候可以百度下這個文件!!
更多關注:黑客冰峰
6.在CMD下切換到該目錄下進程一個強制刪除吧,切換到目錄後輸入命令“del /ah /f svchot.exe “ 就可以強制刪除隱藏的木馬了。
更多關注:黑客冰峰
總共兩篇,這是第一篇。
想看之前的或更多黑客文章點擊下面的擴展鏈接。“瞭解更多”
閱讀更多 黑客冰峰 的文章
