Windows环境黑客入侵应急与排查( 二 ) _黑客入侵

某感染环境，打开任务管理器，发现有大量名字随机的进程，如hrlB3.tmp、hrlCC.tmp、hrlCD.tmp、hrlC3.tmp、hrlC5.tmp、hrlD5.tmp、hrl6.tmp、hrlEE.tmp 。不仅文件后缀不是典型的exe，名字也是随机产生的，这种肯定是异常进程。

文章插图

进程名字伪装是指某些进程的名字伪装成跟系统进程名字相似的名字，目的是为了混淆视听，使经验不足或看走眼的管理员以为是正常进程或文件。
3.2 进程信息排查
进程信息的排查推荐使用PC Hunter、Process Hacker 。
PC Hunter（官网www.xuetr.com）是一个Windows系统信息查看软件，可协助排查木马、后门等病毒，功能包含：
1.进程、线程、进程模块、进程窗口、进程内存、定时器、热键信息查看，杀进程、杀线程、卸载模块等功能
2.内核驱动模块查看，支持内核驱动模块的内存拷贝
3.SSDT、Shadow SSDT、FSD、Keyboard、TCPIP、Classpnp、Atapi、Acpi、SCSI、Mouse、IDT、GDT信息查看，并能检测和恢复ssdt hook和inline hook
4.CreateProcess、CreateThread、LoadImage、CmpCallback、BugCheckCallback、Shutdown、Lego等Notify Routine信息查看，并支持对这些Notify Routine的删除
5.端口信息查看
6.查看消息钩子
7.内核模块的iat、eat、inline hook、patches检测和恢复
8.磁盘、卷、键盘、网络层等过滤驱动检测，并支持删除
9.注册表编辑
10.进程iat、eat、inline hook、patches检测和恢复
11.文件系统查看，支持基本的文件操作
12.查看（编辑）IE插件、SPI、启动项、服务、Host文件、映像劫持、文件关联、系统防火墙规则、IME
13.ObjectType Hook检测和恢复
14.DPC定时器检测和删除
15.MBR Rootkit检测和修复
16.内核对象劫持检测
17.其它一些手工杀毒时需要用到的功能，如修复LSP、修复安全模式等
界面如下图所示，可重点检查下颜色为红色的异常项：

文章插图

此外，Process Hacker也一款不错的进程分析工具，可以通过这个工具寻找有异常网络连接的进程，也可直接dump进程的内存空间，发现隐藏的模块。

文章插图

3.3 模块空间检查
找到可疑进程并不意味着该进程对应的exe文件就是病毒，有些病毒可能是将恶意dll注入到系统进程中去的。
对于可疑进程，需要将进程所加载的模块都检查一下，例如利用Process Hacker，双击可疑进程，即可查看其加载的模块如下：

文章插图

4 启动项排查
4.1 排查Logon启动项
黑客为了保持病毒能够开机启动、登录启动或者定时启动，通常会有相应的启动项，因此有必要找出异常启动项，并删除之。启动项的排查，这里引入一个非常好用的工具，工具名字Autoruns（官网www.sysinternals.com）。
点击运行Autoruns，首先检查Logon（登录启动项），如下图：