2.1.1.4 日志与文件
系统日志
系统日志记录着Windows系统及其各种服务运行的每个细节,起着非常重要的作用,默认情况下,Window的系统日志存放在c:\\windows\\system32\\config,分别为:
AppEvent.Evt(应用程序日志) SecEvent.Evt(安全性日志) SysEvent.Evt(系统日志)
我们可以使用系统自带的“事件查看器”查看
计划任务日志
存放在c:\\windows\\SchedLgU.Txt 浏览器
历史记录存放在:C:\\Documents and Settings\\用户名\\Local Settings\\History
临时文件存放在:C:\\Documents and Settings\\用户名\\Local Settings\\Temporary Internet Files
Cookie文件存放在:C:\\Documents and Settings\\用户名\\Cookies
- 13 - 通过浏览器的历史记录、临时文件及cookie等信息,可判断用户的上网行为。 IIS日志
IIS日志存放在:c:\\windows\\system32\\logfiles\\W3SVCx\\exYYMMDD.log (常见IIS日志分析,可参考“WEB检测技术”章节)
2.1.1.5 网络连接
使用tcpview可用于检测当前系统中的进程及其对应的连接状态,其中,当进程标记为绿色时表示该连接为新发起的连接,当进程被标记为红色时表示该连接为结束状态。
2.1.2 Windows恶意代码监测
本章节描述了常见恶意代码检查工具的使用方法和技巧,同时列举了常见恶意程序的原理和分类,不能完整覆盖全部已知恶意程序。
如需要了解更多的恶意程序查杀实例,请参考《常见恶意程序查杀指南》。
2.1.2.1 PE文件修改病毒检测
PE文件被称为可移植的执行体,是Portable Execute的缩写,常见的EXE、SRC、DLL、OCX、SYS都是PE文件,PE文件是微软Windows操作系统上的程序文件(可能是间接被执行,如DLL)。
- 14 - 很多恶意代码喜欢通过修改PE文件来达到不同的目的,或自启动或隐藏。因此也诞生了许多精巧的PE文件修改技术。但是时至今日,我们可以用非常简单的方法检测系统中被修改的PE文件。
Sigverif.exe是微软提供的一款文件签名验证小工具。在“开始→运行”对话框中键入“sigverif.exe”,即会激活此工具。如下图所示。
Sigverif不仅可以验证系统文件,还可以验证非系统文件,点“高级”后,指定要验证的文件夹,选择“包括子文件夹”,就可以一个不漏地进行验证了。对验证结果,sigverif不会显示签名者,只会提示通过验证或不通过,没有通过即显示出来。
通过此工具,很快能够检测到机器狗更改系统文件userinit.exe,日志扫描出来后,userinit.exe没有通过签名验证、没有公司标识,因此初步判断此文件肯定有问题,经分析发现,机器狗通过修改此文件实现自启动。
2.1.2.2 交换数据流木马检测
NTFS因为它的稳定性强大的功能以及它所提供的安全性而成为一种更优越的文件系统,NTFS交换数据流(alternate data streams,简称ADSs)是为了和Macintosh的HFS文件系统兼容而设计的,它使用资源派生来维持与文件相关的信息,比如说图标及其他的东西。而微软提供了一种方法通过Windows explorer来创建特殊的ADSs,检测这种特殊的ADSs的必要工具和功能相当缺乏。Microsoft KnowledgeBase中Q101353号文章承认了基于API的win32不能很好的支持ADSs。
NTFS交换数据流是NTFS磁盘格式的一个特性,在NTFS文件系统下,每个文件都可以存在多个数据流,就是说除了主文件流之外还可以有许多非主文件流寄宿在主文件流中。
- 15 - 它使用资源派生来维持与文件相关的信息,虽然我们无法看到数据流文件,但是它却是真实存在于我们的系统中的。
既然NTFS交换数据流是NTFS磁盘格式的一种特性,那么对我们有什么危害呢?从上文的定义中我们可以知道NTFS系统中的一个普通文件是可以拥有多个数据流文件的,而数据流文件的格式却没有限制,并且当我们运行这个文件时,其附带的数据流文件也会运行,这说明什么呢?这就表示如果黑客将木马程序作为数据流文件捆绑于正常的文件中,当用户运行这个文件,就会同时运行木马程序。
更可怕的是,由于兼容性的问题,系统自带的任务管理器、进程管理器等工具都不能很好的检测到NTFS交换数据流。因此NTFS交换数据流技术常常被黑客利用来隐藏文件、进程。
下面我们来详细的看看NTFS交换文件流的利用方法。
2.1.2.2.1 隐藏信息
在任一NTFS分区下打开CMD命令提示符,输入echo abcde>>a.txt:b.txt,则在当前目录下会生成一个名为a.txt的文件,但文件的大小只有0字节,打开后也无任何内容,只有当我们键入命令notepad a.txt:b.txt才能看见写入的abcde。
在上边的命令中,a.txt可以不存在。也可以是某个已存在的文件,文件格式无所谓,无论是.txt还是jpg,bmp,com,exe都行,b.txt也可以任意指定文件名以及后缀名。这样就可以将任意文本信息隐藏于任意文件中,只要不泄露冒号后的虚拟文件名(即b.txt),别人是根本不会查看到隐藏信息的。而且在已经使用NTFS交换数据流制造了隐藏信息后,包含隐藏信息的文件仍然可以继续隐藏其他的内容,例如abcde已经包含在a.txt:b.txt中,我们仍然可以使用命令echo 12345>>a.txt:c.txt建立新的包含隐藏信息的流文件,在命令行下使用notepad a.txt:c.txt打开后会发现12345这段信息,而abcde仍然存在于a.txt:b.txt中丝毫不受影响。
2.1.2.2.2 隐藏文件
我们要使用到的命令跟上面的大同小异,命令格式为:type 文件名+后缀>>任意文件名+原文件后缀,比如type 1.jpg>>abc.def:2.jpg,就是将1.jpg的内容写入到abc.def:2.jpg这个交换数据流文件中,abc.def可以随便换,最好是使用正常的文件,这样隐蔽性会更强。
打开隐藏文件时就要注意了,如果用来打开文件的程序是系统自带的(位于系统目录下),直接输入程序名就可以了:但如果是使用另外的程序打开的话就要是加上完整的路径,且流文件也要带上完整的路径。例如使用画图工具打开abc.def:2.jpg,命令格式应该是mapaint abc.def:2.jpg,而如果使用ACDSee9打开的话,命令格式就应该是
- 16 - D:\\ACDSee9\\ACDSee8.exe D:\\abc.def:2.jpg 注意上面的2.jpg,后缀最好跟原文件一致,不然使用第三方软件打开时可能会出错。比如type 1.jpg>>abc.def:2.jjj,使用Windows自带的画图工具可以顺利打开,但使用ACDSee9打开时却提示数据格式不可识别,必须改成.jpg后缀才可以打开。
同理,其他文件也可以这样隐藏,只要打开时根据后缀名找到对应的程序就行了,而且也可以像隐藏信息那样隐藏多个文件。
2.1.2.2.3 捆绑木马
仍然是使用上面隐藏文件的方法,运行的命令格式为:start.exe 交换数据流文件路径,需要带上完整的路径,不然会提示参数不正确。例如我们在系统目录提示符下通过下面这条命令建立了一个数据交换流c:\\windows\\system32>type muma.exe >
notepad.exe:muma.exe,接着使用start.exe c:\\windows\\system32\\notepad.exe:muma.exe即可运行木马程序。在winxp sp1之前的系统上,当我们打开任务管理器时,我们只能看到notepad.exe的进程,而查看不到muma.exe!
2.1.2.2.4 注意事项
? 流文件不能直接通过网络传输,也不能使用WinRAR进行普通压缩后传输,那样会
丢失信息,必须在压缩时选择高级选项里的“保存文件流数据”才行。
? 流文件必须要在NTFS分区下才能运行,一旦放到其他的文件系统分区中,即使再
放回来,也会造成NTFS数据流的丢失。
? NTFS交换数据流技术在winxp sp2之后,做了一定的修正。当我们运行一个数据流
文件时,在进程管理器中可以看到完整的数据流文件信息,而不是像以前那样,只能看到它所依附的文件进程。但是很有意思的是,即使在winxp sp3的机器上,依然能够通过这种方式来实现信息隐藏及文件隐藏。
那么在实战中,黑客通常是如何使用这种技术呢?因为NTFS数据流文件的特性,它不可能通过网络传播,黑客通常是使用Winrar将数据流文件进行打包来进行攻击的。
首先在文件格式为NTFS的盘符文件夹里放好宿主文件和木马程序,这里分别是HijackThis.exe和muma.exe。
- 17 -