最近有一次调试网络时用一台笔记本,发现好像有木马,笔记本是公用的,操作系统是WIN XP,安装完系统后还未安装防火墙、杀毒一类的软件,中木马的可能性非常大,下面把抓木马的经过写出来,为了文章的可读性,先把过程写下来,最后附上本文所用软件的下载地及使用说明。
1、调试网络需要看连接,习惯地打开TCPView,看到如图1红框所示,有两个进程explorer.exe和rundll32.exe非常可疑,很多木马的进程都是这样的。
图1
2、如图2在命令窗口用tasklist /svc命令显示进程对应的服务,发现explorer.exe和rundll32.exe都不是系统服务。难道是木马?接着往下查。
图2
3、先查rundll32,打开procexp.exe进程管理软件,点击rundll32进程,出现图3界面。看到图中红圈的数字吗?3721!看来是3721的插件,验证一下,打开IE中:工具->Internet->选项->常规->设置->查看对象, 出现图4界面,果然有3721的插件。看来rundll32不是木马进程了,我记得百度伴侣也是用的这个进程。
图3
图4
4、接着查explorer.exe,如图5所示,这时用TCPView看到explorer.exe居然和131.107.103.243这个地址建立了连接,是反弹型木马?第一反应是切断网,但一想本机没有什么可窃取的,还是接着查吧,到萍心网IP查询http://dheart.51.net/ip/,输入131.107.103.243地址后,你猜是哪的地址?显示的是Microsoft公司,不会吧?又到了几个IP查询的网址查询还是显示是Microsoft,难道是微软的一个什么服务?但是从图2中又没有显示服务名称。在IE中输入此地址,没有网页显示,在命令窗口输入telnet 131.107.103.243 80 出现黑屏,接着输入get命令,出现图6显示的内容,看来是个web服务,不是木马控制程序,那是什么呢?找来杀毒软件和木马克星,杀完毒后确实有木马也杀掉了,重启计算后explorer.exe进程依然处于Listing(侦听)状态,又想了很多办法,启动进程管理软件procexp.exe,点击explorer.exe进程,出现图7界面,看路径不像有什么问题,它是哪个服务用的吗?如图8所示,在TCPview中结束该进程,结束时发现如图9所示fxssvc.exe也跟着动起来了,是fxssvc.exe调用的?
图5
图6图7
图8
图9
5、在命令窗口接着用tasklist /svc命令查看fxssvc.exe对应的服务,如下显示fxssvc.exe是Fax(传真)服务程序。
fxssvc.exe 584 Fax'
接着输入net stop fax停止fax服务。如下显示服务停止。
Fax 服务正在停止.
Fax 服务已成功停止。
停止fax服务后,把该服务改为手工启动,重启计算机后TCPview显示没有explorer.exe进程处于Listing(侦听)状态。
看来是虚惊一场,虽然没有抓住"马",但我想抓马的过程还是有点借鉴作用的,所以写出此文,希望对你捉马有些帮助,顺便提一句,explorer是系统的正常进程,但很多木马也起成相同或相似的名字,系统启动后该进程就存在但一般不做网络连接,在TCPView中看到该进程处于LISTENING(侦听)和ESTABLISHED(连接)状态时一定要格外注意。
6、本文用到的软件和命令。
1)TCPView
下载地:http://www.mydown.com/soft/115/115304.html
使用方法请参见拙作:端口?木马?安全?扫描?震荡波
2)procexp.exe
下载地:http://www.sysinternals.com/ntw2k/freeware/procexp.shtml
我写此文用的是procexp.exe 5.0,从上面的地址下载后发现版本已是8.4了,而且功能增加了不少,特别是增加了TCP/IP的连接功能,也就是说有了TCPView的功能,非常棒,使用方法很简单,快点下一个用用吧,肯定不会失望的。
3)tasklist命令
该命令是windows系统自带的命令,显示本地或远程机器上当前运行的进程列表,帮助里写的非常清楚,自己看吧。
4)net stop命令
该命令是windows系统自带的命令,作用是停止某个服务,用sc命令中的sc stop fax也行。