国产一级a片免费看高清,亚洲熟女中文字幕在线视频,黄三级高清在线播放,免费黄色视频在线看

為什么要“手工”查殺木馬呢？答案是因?yàn)榕疾恍湃?，不信任什么？不信任自?dòng)殺毒殺木馬軟件告訴我的結(jié)果，它們說(shuō)我的電腦很干凈沒有病毒木馬，但事實(shí)是電腦越來(lái)越難用、不但速度慢還彈廣告；還有，新病毒木馬出來(lái)了，我又很幸運(yùn)的中招了，但這時(shí)專殺工具還未出來(lái)。所以我們要手工查殺。  
　　  
　　怎么知道電腦中是否有病毒或木馬呢？  
　　答案是：檢查。  
　　用什么檢查？專業(yè)工具！  
　　檢查什么？依次檢查這幾項(xiàng)：?jiǎn)?dòng)項(xiàng)、進(jìn)程、模塊、內(nèi)核、服務(wù)函數(shù)、聯(lián)網(wǎng)情況與端口。  
　　如何檢查？  
　　我來(lái)就是教你的！  
　　這里以CNNIC為例來(lái)講解全套的木馬所采用的技術(shù)及破解之道，為什么以它為例，因?yàn)樗玫募夹g(shù)比較高級(jí)并且是木馬經(jīng)常會(huì)采用的，真的很高級(jí)么？不信你可以去網(wǎng)上搜啊～看看都是如何評(píng)價(jià)它所采用的技術(shù)的。  
　　  
　　第一項(xiàng)，我們先檢測(cè)啟動(dòng)項(xiàng)：

如上圖所示：我們找到了可疑的啟動(dòng)項(xiàng)。（把拉條向下拉還會(huì)看到七八個(gè)可疑的）  
　　所用的查找工具其功能需滿足以下兩點(diǎn)：  
　　1、能夠?qū)φ业降膯?dòng)項(xiàng)進(jìn)行數(shù)字簽名認(rèn)證，以防木馬改成與系統(tǒng)一樣的名字蒙混過關(guān)。  
　　2、能對(duì)付木馬的各種隱藏啟動(dòng)項(xiàng)的技術(shù)，以防隱藏型木馬被漏查。（什么樣的工具能對(duì)付什么樣的技術(shù)，請(qǐng)稍等，我會(huì)在后面講解木馬的隱藏技術(shù)時(shí)詳細(xì)解釋）  
　　  
　　第二項(xiàng)，我們?cè)贆z查進(jìn)程。

從上圖可以看到，我們找到了可疑的進(jìn)程   ，而且這個(gè)進(jìn)程與某一啟動(dòng)項(xiàng)中的文件是同一文件，一個(gè)可疑進(jìn)程要求自啟動(dòng)，顯然符合一定的木馬特征。  
　　  
　　對(duì)工具的要求是與上面相同：要求能進(jìn)行數(shù)字簽名認(rèn)證以防木馬改名字；要求能列出隱藏進(jìn)程（什么工具能查出什么樣的隱藏進(jìn)程   ，請(qǐng)看后面的木馬進(jìn)程隱藏技術(shù)詳解）
找到了，我們是否就可以刪除了呢？試試看～  

進(jìn)程無(wú)法中止！  
　　這是恐怕有朋友就說(shuō)了，找強(qiáng)力工具一下兒就殺掉了！  
　　是的，找個(gè)強(qiáng)力工具是可以殺掉，但殺掉進(jìn)程就是清除了木馬么？這兩者之間肯定是無(wú)法劃等號(hào)的。  
　　而在后面我要講解的就是這些為什么殺不掉～而強(qiáng)力工具為什么又能殺掉，什么樣的工具能殺掉什么樣的進(jìn)程，讓您明白了原理之后，自然就透徹的了解了木馬，而再遇到新的、未知的也就不怕了，能殺了。  
　　我們?cè)僭囋噭h除啟動(dòng)項(xiàng)是否可以：  

啟動(dòng)項(xiàng)也無(wú)法刪除！  
　　此時(shí)基本可以確定一點(diǎn)了，我們的確是中招了！  
　　是否可以任它留在我們的機(jī)器上呢？還是找個(gè)強(qiáng)力工具把他殺掉呢？  
　　肯定有一部分朋友想到了冰刃～這個(gè)大名頂頂?shù)膹?qiáng)力工具，用冰刃來(lái)結(jié)束這個(gè)進(jìn)程并刪除這個(gè)進(jìn)程的啟動(dòng)項(xiàng)是否可行呢？  
　　友情提示，冰刃與CNNIC用到了相同的技術(shù)，所以會(huì)有沖突，可能會(huì)導(dǎo)至系統(tǒng)藍(lán)屏。
　　為什么會(huì)這樣呢？為什么我們殺不掉它的進(jìn)程、刪除不掉它的啟動(dòng)項(xiàng)、并且運(yùn)行冰刃會(huì)藍(lán)屏呢？  
　　看看這張圖，然后我們開始講解，木馬的隱藏與保護(hù)技術(shù)！

上面的圖是一個(gè)SSDT檢查圖，右邊顯示的結(jié)果是CdnProt.sys這個(gè)驅(qū)動(dòng)HOOK了一堆的服務(wù)函數(shù)。  
　　是不是開始有點(diǎn)兒暈了？一堆名詞，可能會(huì)讓大多數(shù)人發(fā)暈.  
　　下面我用一個(gè)比喻來(lái)形容一下兒這些電腦名詞與木馬技術(shù)的實(shí)現(xiàn)機(jī)制。  
　　Windows（操作系統(tǒng)）就像一個(gè)為我們服務(wù)的管理公司，這個(gè)公司呢幫我們管理著我們的電腦。一個(gè)公司當(dāng)然不會(huì)是一個(gè)人，他們有很多人來(lái)完成不同的工作。  
　　他們的工作流程是這樣的，有一個(gè)服務(wù)員是跟在我們身邊，當(dāng)我們有什么事情要辦的時(shí)候呢，就把事情告訴這個(gè)服務(wù)員，服務(wù)員就把我們的要求報(bào)上去，交給負(fù)責(zé)此事的部門去處理。再把結(jié)果告訴我們。  
　　  
SSDT是什么呢？就是一個(gè)指示路標(biāo)，告訴服務(wù)員什么事情應(yīng)該交給哪個(gè)部門去做。我們想結(jié)束進(jìn)程，然后會(huì)把這個(gè)任務(wù)交給服務(wù)員，服務(wù)員查看SSDT這個(gè)路標(biāo)，上面寫著，“結(jié)束進(jìn)程是由NtTerminateProcess這個(gè)部門負(fù)責(zé)的”，然后服務(wù)員就會(huì)把工作交給這個(gè)NtTerminateProcess來(lái)處理。再把結(jié)果帶回給我們。  
　　  
HOOK是什么呢？HOOK是一種技術(shù)，這種技術(shù)就是改變SSDT的路標(biāo)內(nèi)容，改為“結(jié)束進(jìn)程是由木馬負(fù)責(zé)的”，這時(shí)，服務(wù)員就會(huì)把我們的結(jié)束進(jìn)程的工作交給木馬去處理了，木馬會(huì)查看我們要結(jié)束的是誰(shuí)，如果與它無(wú)關(guān)，它就接著行使服務(wù)員的工作，再把工作傳給NtTerminateProcess，然后把結(jié)果告訴服務(wù)員，由服務(wù)員再告訴我們。如果是結(jié)束它自己呢？它就不把工作向上報(bào)了，直接告訴服務(wù)員，這個(gè)工作是無(wú)法完成的。然后服務(wù)員再把結(jié)果告訴我們，我們就看到最上面的那個(gè)錯(cuò)誤提示了“無(wú)法完成操作”。  
　　  
　　對(duì)付HOOK-SSDT的技術(shù)呢，我們只需要把SSDT給恢復(fù)了就行了，恢復(fù)的操作就是用原始的SSDT來(lái)重新把正確的路標(biāo)寫回去。一般這一層次的木馬這樣做完之后，就可以刪除結(jié)束木馬了。  
　　  
　　我們選擇上圖中的“恢復(fù)全部-SSDT-HOOK”，恢復(fù)完以后呢，我們?cè)龠x擇“SSDT   檢查”，看看是不是已經(jīng)真的恢復(fù)了。  
　　然后，我們得到了這個(gè)圖：  

從圖中可以看到，與上面HOOK-SSDT的圖幾乎一樣，唯一不同的是HOOK類型變?yōu)榱薎NLINE-HOOK！  
　　如果這時(shí)你沒有再次檢查，而是直接去結(jié)束進(jìn)程   ，那你得到的仍然是錯(cuò)誤！  
　　  
　　INLINE-HOOK是比HOOK更高一層的技術(shù)，那么什么又是INLINE-HOOK呢？我們?nèi)匀灰陨厦娴睦觼?lái)解釋：  
　　  
　　服務(wù)員查過路標(biāo)后，將把工作交給特定的部門去做，一個(gè)部門也不會(huì)是一個(gè)人，流程會(huì)是這樣：交給部門的接待員，再由接待人員報(bào)上去、報(bào)給部門經(jīng)理的秘書、部門經(jīng)理的秘書再報(bào)給部門經(jīng)理，再由部門經(jīng)理實(shí)際分派人手去做。  
　　而INLINE-HOOK技術(shù)呢？就是木馬打份成了接待人員并把真的接待人員給替換了。  
木馬如果是替換的接待人員，那是最初級(jí)的INLINE-HOOK，如果它更高級(jí)還可以替換秘書、副經(jīng)理等，但它必竟不是接待人員也不是秘書不是副經(jīng)理，但它在那個(gè)位置上則必須要做那個(gè)位置的工作，所以，一些跟殺它無(wú)關(guān)的工作，本來(lái)它也想做好的工作，卻可能由于業(yè)務(wù)能力不足（INLINE-HOOK的技術(shù)不足），而做壞，導(dǎo)致正常工作總是出錯(cuò)，無(wú)法也正常人員在位時(shí)相比。（表現(xiàn)為機(jī)器總是莫名奇妙的出問題、死機(jī)或藍(lán)屏）  
　　  
　　是否理解什么是HOOK、什么又是INLINE-HOOK、為什么機(jī)器總是出問題了？  
　　  
　
通過上面的講解，我們知道了為什么無(wú)法結(jié)束進(jìn)程、無(wú)法刪除啟動(dòng)項(xiàng)了。我們只要再把INLINE-HOOK恢復(fù)了，就可以順利的結(jié)束進(jìn)程并刪除啟動(dòng)項(xiàng)了。  
　　當(dāng)我們把進(jìn)程結(jié)束了，把啟動(dòng)項(xiàng)刪除了后，想刪除文件時(shí)，是不是發(fā)現(xiàn)文件無(wú)法刪除呢？這就是CNNIC用到的另一種文件保護(hù)技術(shù)了，F(xiàn)SD-HOOK、FSD-INLINE-HOOK，這兩個(gè)又是什么東西呢？  
　　我們先看一張圖：  

看上圖，前面的是FSD-HOOK，后面的是FSD-INLINE-HOOK
現(xiàn)在對(duì)上面的一些專業(yè)名詞進(jìn)行一下兒解釋：
什么是FSD呢？FSD是英文單詞的開頭字母縮寫，即：文件系統(tǒng)驅(qū)動(dòng)（File   System   Driver）  
　　再用上面的例子舉例：  
一般性的工作呢～我們會(huì)交給Windows的一般部門去完成。但文件相對(duì)于電腦就像是我們的資產(chǎn)，是有形的東西、貴重的東西。所以，Windows就專門成立了一個(gè)更深層次的部門來(lái)負(fù)責(zé)對(duì)文件的管理，其它部門接到與文件有關(guān)的工作時(shí)，都會(huì)轉(zhuǎn)交給文件部來(lái)負(fù)責(zé)處理。  
　　FSD-HOOK呢，就是把文件部的門牌換到了木馬門前，其它部門就把工作交給了木馬，木馬會(huì)進(jìn)行過濾，發(fā)現(xiàn)沒有刪除自己的操作時(shí)，再把工作轉(zhuǎn)交給文件部。如果有，當(dāng)然就不轉(zhuǎn)交了。  
　　FSD-INLINE-HOOK呢，不用我說(shuō)，大家也都知道吧，就是把文件部的工作人員直接替換了，部門還是那里，但人變了。效果一樣，但隱蔽性更強(qiáng)，同樣，也更不穩(wěn)定了。  
　　  
這里再插上一句講一講為什么不穩(wěn)定了，上面說(shuō)過，當(dāng)在裝有CNNIC的機(jī)器上運(yùn)行IceSword（冰刃）時(shí)，會(huì)導(dǎo)至藍(lán)屏死機(jī)，其原因，就是因?yàn)镃NNIC為了保護(hù)自己的進(jìn)程不被結(jié)束，INLINE-HOOK了兩個(gè)與進(jìn)程有關(guān)的服務(wù)。而Ice也為了自己的進(jìn)程不被結(jié)束，INLINE-HOOK了同樣的服務(wù)。如果他們采用的INLINE-HOOK是一樣的，那只是前面的被后面的取代，也不會(huì)崩潰。但遺憾的是，他們雖然用的同一技術(shù)，HOOK的同一地方，但卻并不完全一樣。CNNIC   HOOK了7個(gè)字節(jié)，而Ice   HOOK了5個(gè)字節(jié)，想一想如果兩個(gè)都存在這成什么了，系統(tǒng)不崩潰才怪呢。 
　　所以，機(jī)器的崩潰是隨機(jī)的，只要你用到了某一有沖突的軟件，隨機(jī)將變?yōu)楸厝弧? 
　　  
　　好了，我們恢復(fù)FSD的HOOK及INLINE-HOOK，然后再刪除文件試試，結(jié)果如何？  
　　是不是，有的可以刪除了，但有的DLL文件卻仍然無(wú)法刪除？  
　　進(jìn)程被結(jié)束了，HOOK被恢復(fù)了，為什么仍然無(wú)法刪除呢？  
　　這就是CNNIC用到的另一項(xiàng)技術(shù)了，曾經(jīng)流行一時(shí)的無(wú)進(jìn)程木馬采用的主要手段“DLL進(jìn)程注入”！  
　　汗～～CNNIC用到的技術(shù)還真多啊～～現(xiàn)在知道為什么我會(huì)拿它作例子來(lái)講高級(jí)木馬的隱藏保護(hù)技術(shù)了吧？  
　　下面我們就接著講什么是“DLL進(jìn)程注入”，先來(lái)看圖：  

看到上面的圖沒？  
　　這些就是CNNIC注入到其它進(jìn)程中的模塊，雖然在進(jìn)程列表中你看不到它們，但它們的的確確的正在工作，正在使用中的文件，當(dāng)然你刪除不了啦～  
　　DLL文件是指擴(kuò)展名為.DLL的文件即“動(dòng)態(tài)鏈接庫(kù)”，（注：擴(kuò)展名只是外在形式，只要格式對(duì)，起什么名字都可以的，不能作準(zhǔn)）  
　　每個(gè)進(jìn)程都用到了幾個(gè)到上百個(gè)不等的動(dòng)態(tài)庫(kù)，每個(gè)動(dòng)態(tài)庫(kù)都完成了某一部分特定的功能。  
　　一臺(tái)電腦中的動(dòng)態(tài)加載的模塊至少幾百多則上千，從中找出哪些是木馬的是有點(diǎn)困難。當(dāng)然了，我們的困難也是木馬鐘情于這種技術(shù)的原因。  
　　  
　　用“搜索可疑模塊”可以把可疑的全部列出來(lái)，看到上圖沒？這就是我機(jī)器上的所有可疑模塊了。  
　　不好意思，偶的機(jī)器比較干凈，所以除了CNNIC的就沒有其它的了。  
　　  
　　找到了就簡(jiǎn)單了，“卸載”＋“刪除”就搞定了！  
　　  
好了。至此，你已經(jīng)破除了CNNIC的大部分保護(hù)技術(shù)了。之所以說(shuō)大部分，是因?yàn)檫€有一些小技術(shù)的存在。比如說(shuō)：每次啟動(dòng)電腦都隨機(jī)改名的影子驅(qū)動(dòng)，影子驅(qū)動(dòng)嘛當(dāng)然是做為主驅(qū)動(dòng)的保護(hù)者備份者而存在啦，當(dāng)你只刪除了主驅(qū)動(dòng)而遺漏了影子驅(qū)動(dòng)時(shí)工作就等于沒做。還有電源關(guān)閉通知技術(shù):就是關(guān)機(jī)時(shí)，WINDOWS會(huì)通知CNNIC，偶要關(guān)機(jī)啦～～你還有什么事情要做不？CNNIC會(huì)說(shuō)，稍等一等，等我檢查一下子我的啟動(dòng)項(xiàng)是不是還在～～呵，也就是說(shuō)，即使你刪除了，但一重啟它就又出來(lái)了。因?yàn)殛P(guān)機(jī)時(shí)它又重新寫回去了。  
　　  
　　呵，這些就不多講了，必竟，這些都沒啥子太高深的技術(shù)含量～含金量偏低，不值的研究～考驗(yàn)的是清除的人是否心細(xì)而已  
　　  
　　一個(gè)CNNIC囊括了當(dāng)前絕大多數(shù)流行的高級(jí)木馬技術(shù)～好東西啊～～  
　　CNNIC只是保護(hù)了自己不被刪除，但這種技術(shù)同樣可以隱藏自己不被發(fā)現(xiàn)。知道了存在刪除不了，當(dāng)然郁悶！  
　　但不知道的你的電腦中到底有多少不速之客的存在呢？不知道還會(huì)郁悶嗎？是不是感到渾身發(fā)冷了？還是接著欺騙自己？  
　　據(jù)最新統(tǒng)計(jì)，全球大約有1.3億臺(tái)電腦是被黑客控制的，這里面包括你的么？自己花錢買的電腦，別人想怎么用就怎么用，而自己又不知道，你什么心情？   　　   　　  
　　　　  
　　好了，到此結(jié)束了，希望對(duì)各位有所幫助～～～