前段时间在灰色轨迹论坛里看到有人发贴询问关于hxdef073这个后门的清理问题,当时因为我也没有接触过这类与内核挂钩的后门程序,就想当然的贴出了寻找的方法,当然事实上也证明了我的方法是错误的。也就是说当运行了hxdef073.exe后,与hxdef073字样一致的所有文件都会被隐藏,甚至包括hxdef073.rar之类的文件也会被隐藏。所以,在本地路径内是无法找到该文件的,包括在本地映射自己的驱动器,以访问网络驱动器的方法来访问本地驱动器这个方法也不能够让它“显形”。
那么就没有方法能够查杀该后门程序了么?非也,我前面曾经发表过一篇帖子,讲的是用网络驱动器的方式来寻找被隐藏的hxdef073后门的方法,现在再把这篇文章的内容来归纳一下:首先在本地运行了hxdef073程序后,hxdef073就把所有与“hxdef073”字眼一致的程序隐藏了,然后我装上了Mcafee7.0企业版来进行测试,结果就和预想当中的一样,由于Syscall表的作用,Mcafee7.0根本就检测不出来,当然,在检测之前我把Mcafee升级到了最新版本。然后就从本地去映射该文件所在的驱动器,就和前面文章所说的一样,在网络驱动器下,hxdef073和与“hxdef073”字眼一致的文件都历历在目。
我的想法是:这应该是和RPC过程有密切的关系。从目前的后门以及远程控制程序来讲,不管是C/S模型也好,还是获得一个Shell也罢,要使用到RPC远端调用模式来调用远端的服务端,所以在调用的时候,势必之与需要建立这样的一个RPC的通道(我暂时用通道的字眼来描述RPC)来进行传输调用过程,在进行连接时候,肯定服务端是要进行工作的,来提供连接服务。所以,这个时候的防病毒程序就能够侦测的出一直处于静默模式下的服务端程序的工作过程,当然,并不是所有的防病毒程序都能够办到这一点,例如瑞星的查杀能力我就不敢恭维,我现在所讲的只是在Mcafee7.0的测试下的结果。
言归正传,如何来检测出hxdef073这个程序呢?两种方法:一、使用杀毒软件,由于Syscall表的缘故,在这种内核级别的后门面前,谁最先占领一个最上位的位置,谁就能够立于不败之地,当然仅仅只是在一次重启之前。所以,在重启之前看不到的hxdef073与“hxdef073”字眼相关的文件在重启后就会暴露在我们眼前;二、映射网络驱动器,该方法是RPC的调用过程,所以在前面帖子里讲的方法是能够看的见hxdef073文件以及“hxdef073”相关字眼的文件。使用这两种方法,要把hxdef073程序删除的话,是不能马上删除的,因为已经在运行了,可以先把hxdef073.ini这个文件先删除掉,然后在重启过后,就可以把hxdef073程序删除了,因为少了hxdef073.ini这个配置文件,所以,hxdef073.exe就等于是死尸一条了,删除它是很简单的事情了。
我用3389连接上我局域网内的一台实验计算机并运行了hxdef073.exe(没有配置过),当然hxdef073与“hxdef073”字眼相关的所有文件都立刻“消失”,然后,我在我本地使用Mcafee7.0进行网络连接杀毒的时候,文件是找出来了,但是并不显示是病毒程序,任何反应也没有,Mcafee企业版的网络杀毒模式还不能够查杀hxdef073后门。
但是当我在网络驱动器里查看的时候,不但hxdef073文件以及“hxdef073”字眼相关文件都显示出来,而且Mcafee还发出了警报并查杀了除hxdef073.exe以外的所有文件,因为hxdef073.exe已经在运行了。
以上讲的内容都是在实验测试的环境下做的,所以和外界正常的查杀情况还有很大的出入,比如说,文件改名、不知道hxdef073的路径等等。当然也有其他朋友找出的查杀方法,也能够有效的查杀该程序,但在这帖子里所讨论的只是我个人所考虑的查杀方法。
我之所以要写出这样的帖子出来是因为想和大家讨论一下这种内核级的后门程序的运行以及调用原理,以便于能够发现并查杀这种后门,同时也希望能够在以后的内核级后门里有所改进。本贴所讲的东西以及道理实在是很简单和粗略,所以如果有所遗漏出错,还希望能够获得大家的指正。
