¡¡¡¡1.MTÀ¦°ó¿ËÐÇ

¡¡¡¡ÎļþÖÐÖ»ÒªÀ¦°óÁËľÂí£¬ÄÇôÆäÎļþÍ·ÌØÕ÷ÂëÒ»¶¨»á±íÏÖ³öÒ»¶¨µÄ¹æÂÉ£¬¶øMTÀ¦°ó¿ËÐÇÕýÊÇͨ¹ý·ÖÎö³ÌÐòµÄÎļþÍ·ÌØÕ÷ÂëÀ´ÅжϵÄ¡£³ÌÐòÔËÐкó£¬ÎÒÃÇÖ»Òªµ¥»÷“ä¯ÀÀ”°´Å¥£¬Ñ¡ÔñÐèÒª½øÐмì²âµÄÎļþ£¬È»ºóµ¥»÷Ö÷½çÃæÉϵē·ÖÎö”°´Å¥£¬ÕâÑù³ÌÐò¾Í»á×Ô¶¯¶ÔÌí¼Ó½øÀ´µÄÎļþ½øÐзÖÎö¡£´Ëʱ£¬ÎÒÃÇÖ»Òª²é¿´·ÖÎö½á¹ûÖпÉÖ´ÐеÄÍ·²¿Êý£¬Èç¹ûÓÐÁ½¸ö»ò¸ü¶àµÄ¿ÉÖ´ÐÐÎļþÍ·²¿£¬ÄÇô˵Ã÷´ËÎļþÒ»¶¨ÊDZ»À¦°ó¹ýµÄ!

¡¡¡¡2.¾¾³öÀ¦°óÔÚ³ÌÐòÖеÄľÂí

¡¡¡¡¹â¼ì²â³öÁËÎļþÖÐÀ¦°óÁËľÂíÊÇÔ¶Ô¶²»¹»µÄ£¬»¹±ØÐëÇë³ö“Fearless Bound File Detector”ÕâÑùµÄ“Ìع¤”À´Çå³ýÆäÖеÄľÂí¡£

¡¡¡¡³ÌÐòÔËÐкó»áÊ×ÏÈÒªÇóÑ¡ÔñÐèÒª¼ì²âµÄ³ÌÐò»òÎļþ£¬È»ºóµ¥»÷Ö÷½çÃæÖеēProcess”°´Å¥£¬·ÖÎöÍê±ÏÔÙµ¥»÷“Clean File”°´Å¥£¬ÔÚµ¯³ö¾¯¸æ¶Ô»°¿òÖе¥»÷“ÊÇ”°´Å¥È·ÈÏÇå³ý³ÌÐòÖб»À¦°óµÄľÂí¡£

¡¡¡¡¶þ¡¢Çå³ýDLLÀàºóÃÅ

¡¡¡¡Ïà¶ÔÎļþÀ¦°óÔËÐУ¬DLL²åÈëÀàµÄľÂíÏԵĸü¼Ó¸ß¼¶£¬¾ßÓÐÎÞ½ø³Ì£¬²»¿ª¶Ë¿ÚµÈÌص㣬һ°ãÈ˺ÜÄÑ·¢¾õ¡£Òò´ËÇå³ýµÄ²½ÖèÒ²Ïà¶Ô¸´ÔÓÒ»µã¡£

¡¡¡¡1.½áÊøľÂí½ø³Ì

¡¡¡¡ÓÉÓÚ¸ÃÀàÐ͵ÄľÂíÊÇǶÈëÔÚÆäËü½ø³ÌÖ®ÖеÄ£¬±¾ÉíÔÚ½ø³Ì²é¿´Æ÷Öв¢²»»áÉú³É¾ßÌåµÄÏîÄ¿£¬¶Ô´ËÎÒÃÇÈç¹û·¢ÏÖ×Ô¼ºÏµÍ³³öÏÖÒ쳣ʱ£¬ÔòÐèÒªÅжÏÊÇ·ñÖÐÁËDLLľÂí¡£

¡¡¡¡ÔÚÕâÀïÎÒÃǽèÖúµÄÊÇICeSword¹¤¾ß£¬ÔËÐиóÌÐòºó»á×Ô¶¯¼ì²âϵͳÕýÔÚÔËÐеĽø³Ì£¬ÓÒ»÷¿ÉÒɵĽø³Ì£¬ÔÚµ¯³öµÄ²Ëµ¥ÖÐÑ¡Ôñ“Ä£¿éÐÅÏ¢”£¬ÔÚµ¯³öµÄ´°¿ÚÖм´¿É²é¿´ËùÓÐDLLÄ£¿é£¬ÕâʱÈç¹û·¢ÏÖÓÐÀ´Àú²»Ã÷µÄÏîÄ¿¾Í¿ÉÒÔ½«ÆäÑ¡ÖУ¬È»ºóµ¥»÷“жÔØ”°´Å¥½«Æä´Ó½ø³ÌÖÐɾ³ý¡£¶ÔÓÚһЩ±È½ÏÍç¹ÌµÄ½ø³Ì£¬ÎÒÃÇ»¹½«ÆäÖУ¬µ¥»÷“Ç¿Ðнâ³ý”°´Å¥£¬È»ºóÔÙͨ¹ý“Ä£¿éÎļþÃû”À¸ÖеĵØÖ·£¬Ö±½Óµ½ÆäÎļþ¼ÐÖн«Æäɾ³ý¡£

¡¡¡¡2.²éÕÒ¿ÉÒÉDLLÄ£¿é

¡¡¡¡ÓÉÓÚÒ»°ãÓû§¶ÔDLLÎļþµÄµ÷ÓÃÇé¿ö²¢²»ÊìϤ£¬Òò´ËºÜÄÑÅжϳöÄĸöDLLÄ£¿éÊDz»ÊÇ¿ÉÒɵÄ¡£ÕâÑùECQ-PS(³¬¼¶½ø³ÌÍõ)¼´¿ÉÅÉÉÏÓó¡¡£

¡¡¡¡ÔËÐÐÈí¼þºó¼´¿ÉÔÚÖмäµÄÁбíÖпÉÒÔ¿´µ½µ±Ç°ÏµÍ³ÖеÄËùÓнø³Ì£¬Ë«»÷ÆäÖеÄij¸ö½ø³Ìºó£¬¿ÉÒÔÔÚÏÂÃæ´°¿ÚµÄ“È«²¿Ä£¿é”±êÇ©ÖУ¬¼´¿ÉÏÔʾÏêϸµÄÐÅÏ¢£¬°üÀ¨Ä£¿éÃû³Æ¡¢°æ±¾ºÍ³§ÉÌ£¬ÒÔ¼°´´½¨µÄʱ¼äµÈ¡£ÆäÖеij§É̺ʹ´½¨Ê±¼äÐÅÏ¢±È½ÏÖØÒª£¬Èç¹ûÊÇÒ»¸öϵͳ¹Ø¼ü½ø³ÌÈç“svchost.exe”£¬½á¹ûµ÷ÓõÄÈ´ÊÇÒ»¸ö²»ÖªÃûµÄ³§É̵ÄÄ£¿é£¬ÄǸÃÄ£¿é±Ø¶¨ÊÇÓÐÎÊÌâµÄ¡£ÁíÍâÈç¹û³§ÉÌËäÈ»ÊÇ΢ÈíµÄ£¬µ«´´½¨Ê±¼äÈ´ÓëÆäËüµÄDLLÄ£¿éʱ¼ä²»Í¬£¬ÄÇôҲ¿ÉÄÜÊÇDLLľÂí¡£

¡¡¡¡ÁíÍâÎÒÃÇÒ²¿ÉÒÔÖ±½ÓÇл»µ½“¿ÉÒÉÄ£¿é”Ñ¡ÏÈí¼þ»á×Ô¶¯É¨ÃèÄ£¿éÖеĿÉÒÉÎļþ£¬²¢ÔÚÁбíÖÐÏÔʾ³öÀ´¡£Ë«»÷ɨÃè½á¹ûÁбíÖеĿÉÒÉDLLÄ£¿é£¬¿É¿´µ½µ÷ÓôËÄ£¿éµÄ½ø³Ì¡£Ò»°ãÿһ¸öDLLÎļþ¶¼Óжà¸ö½ø³Ì»áµ÷Óã¬Èç¹ûµ÷ÓôËDLLÎļþµÄ½ö½öÊÇ´ËÒ»¸ö½ø³Ì£¬Ò²¿ÉÄÜÊÇDLLľÂí¡£µã»÷“Ç¿½øɾ³ý”°´Å¥£¬¼´¿É½«DLLľÂí´Ó½ø³ÌÖÐɾ³ýµô¡£

¡¡¡¡Èý¡¢³¹µ×µÄRootkit¼ì²â

¡¡¡¡Ë­¶¼²»¿ÉÄÜÿʱÿ¿Ì¶ÔϵͳÖеĶ˿ڡ¢×¢²á±í¡¢Îļþ¡¢·þÎñ½øÐа¤¸öµÄ¼ì²é£¬¿´ÊÇ·ñÒþ²ØľÂí¡£ÕâʱºòÎÒ¿ÉÒÔʹÓÃһЩÌØÊâµÄ¹¤¾ß½øÐмì²â¡£

¡¡¡¡1.Rootkit DetectorÇå³ýRootkit

¡¡¡¡Rootkit DetectorÊÇÒ»¸öRootkit¼ì²âºÍÇå³ý¹¤¾ß£¬¿ÉÒÔ¼ì²â³ö¶à¸öWindowsϵÄRootkit ÆäÖаüÀ¨´óÃû¶¦¶¦µÄhxdef.100¡£

¡¡¡¡Ó÷½·¨ºÜ¼òµ¥£¬ÔÚÃüÁîÐÐÏÂÖ±½ÓÔËÐгÌÐòÃû“rkdetector.exe”¼´¿É¡£³ÌÐòÔËÐк󽫻á×Ô¶¯Íê³ÉһϵͳÁÐÒþ²ØÏîÄ¿¼ì²â£¬²éÕÒ³öϵͳÖÐÕýÔÚÔËÐеÄRootkit³ÌÐò¼°·þÎñ£¬ÒÔºìÉ«×÷³ö±ê¼ÇÌáÐÑ£¬²¢³¢ÊÔ½«ËüÇå³ýµô¡£

¡¡¡¡2.Ç¿´óµÄKnlps

¡¡¡¡Ïà±È֮ϣ¬KnlpsµÄ¹¦ÄܸüΪǿ´óһЩ£¬Ëü¿ÉÒÔÖ¸¶¨½áÊøÕýÔÚÔËÐеÄRootkit³ÌÐò¡£Ê¹ÓÃʱÔÚÃüÁîÐÐÏÂÊäÈë“knlps.exe -l”ÃüÁ½«ÏÔʾϵͳÖÐËùÓÐÒþ²ØµÄRootkit½ø³Ì¼°ÏàÓ¦µÄ½ø³ÌPIDºÅ¡£ÕÒµ½Rootkit½ø³Ìºó£¬¿ÉÒÔʹÓÓ-k”²ÎÊý½øÐÐɾ³ý¡£ÀýÈçÒÑÕÒµ½ÁË“svch0st.exe”µÄ½ø³Ì£¬¼°PIDºÅΪ“3908”£¬¿ÉÒÔÊäÈëÃüÁî“knlps.exe -k 3908”½«½ø³ÌÖÐÖ¹µô¡£

¡¡¡¡ËÄ¡¢¿Ë¡Õʺŵļì²â

¡¡¡¡ÑϸñÒâÒåÉÏÀ´Ëµ£¬ËüÒѾ­²»ÊǺóÃÅľÂíÁË¡£µ«ÊÇËûͬÑùÊÇÔÚϵͳÖн¨Á¢Á˹ÜÀíԱȨÏÞµÄÕ˺Å£¬µ«ÊÇÎÒÃDz鿴µÄÈ´ÊÇGuest×éµÄ³ÉÔ±£¬·Ç³£ÈÝÒ×Âé±Ô¹ÜÀíÔ±¡£

¡¡¡¡ÔÚÕâÀïΪ´ó¼Ò½éÉÜÒ»¿îеÄÕʺſË¡¼ì²â¹¤¾ßLP_Check£¬Ëü¿ÉÒÔÃ÷²éÇïºÁµÄ¼ì²é³öϵͳÖеĿË¡Óû§!

¡¡¡¡LP_CheckµÄʹÓü«Æä¼òµ¥£¬³ÌÐòÔËÐкó»á¶Ô×¢²á±í¼°“ÕʺŹÜÀíÆ÷”ÖеÄÓû§ÕʺźÍȨÏÞ½øÐжԱȼì²â£¬¿ÉÒÔ¿´µ½³ÌÐò¼ì²â³öÁ˸ղÅGuestÕʺÅÓÐÎÊÌ⣬²¢ÔÚÁбíÖÐÒÔºìÉ«Èý½Ç·ûºÅÖصã±ê¼Ç³öÀ´£¬ÕâʱÎÒÃǾͿÉÒÔ´ò¿ªÓû§¹ÜÀí´°¿Ú½«Æäɾ³ýÁË¡£

¡¡¡¡×ÛÉÏËùÊö£¬ÎÒÃÇÁ˽âÁËľÂíµÄαװ£¬Ò²Á˽âÁËÈçºÎ¿ìËÙ°ÑËüÇå³ýµÄ¹ý³Ì£¬¾­¹ýÒÔÉϵķ½·¨ºóÒ²¾Í»áÈÃÄãµÄµçÄÔϵͳ»Ö¸´°²È«×´Ì¬ÁË¡£Ä¾ÂíµÄαװˮƽºÜ¸ß£¬ËùÒÔÓû§»¹ÊÇÒª²»¶ÏµÄ»ýÀÛ¾­Ñ飬²ÅÄÜÈÃ×Ô¼ºµÄµçÄÔ´¦ÓÚ°²È«×´Ì¬¡£

Ïà¹ØÎÄÕÂ

• ÉÏһƪ£º ¹¤×÷µãÎȶ¨µÄµçѹ·Å´óÆ÷
• ÏÂһƪ£º ͨ¹ýÒ»¶¨È¨ÏÞÔËÐгÌÐò