杀死木马小工具——欢迎试用

可以帮助你找木马或者其它可疑程序!附有简单的查找所有自启动项目,当前运行进程,去掉木马的超级隐藏属性等功能!
  最重要的是,你需要学习如何手动杀死木马,杀毒软件对很多木马已经完全无效,只能手动杀木马——利用这个工具,可以大大提高你识别木马的效率。
  
  更新日期:
  2006.1.23:
  花了一下午重新做的,可以帮助你找木马或者其它可疑程序!附有简单的查找所有自启动项目,当前运行进程,去掉木马的超级隐藏属性等功能!
  2006.2.08:
  新加查看进程关联端口功能,不过只能在xp以上系统能用!
  2006.8.21:
  更新了一点,解决了以前识别文件公司信息不全面的bug,花了我好久时间,才发现原来英语的codepage有几种,而且msdn上的实例都没写出正确全面的代码来。幸亏我最后把所有的文件信息都属出来,才看出端倪来!
  2006.8.30:
  增加了对"AppInit_DLLs "和“load”两种启动方式的检查。
  修正了一些bug!
  
  下载地址:
  www.cfxy.net/vc/killyou.exe

解决方案 »

  1.   

    autoruns.exe + procexp.exe 功能比楼主的强多了,建议楼主参考一下。
    某程序开了多个端口楼主的也只能看一个~ 太简陋了……
      

  2.   

    不能查隐藏进程,不能查隐藏模块,也不能查隐藏驱动。 你让我怎么给你测呀。 难不成最后我还要用手杀。
    ————————————————对了还不能查隐藏文件和注册表!呵呵,隐藏进程什么的,可能对方是用驱动或者hook之类的吧,要搞不容易啊
    而且这个小工具 服务都没枚举的。
    至于说 不能查 隐藏文件和注册表,不清楚什么意思?这个软件有自动去掉隐藏属性的功能,注册表有隐藏的吗?我孤陋寡闻,没听过,呵呵,我只知道注册表有默认权限不能访问的。 这个小工具,只是做个自己玩玩得了!
      

  3.   

    你要相信  你看到的进程名和路径不一定是真实的。有可能是替罪羊,当然也有可能你根本看不到。 注册表一样可以被HOOK 一关可以看不到。 服务 TCPIP 也能被HOOK 你用TCPVIEW之类的软件也可以看不到。 或是直接用网卡拼包你就更看不到了。 文件当然也可以看不到。等等等  而且上面所说已经是有人实现的。
    一般有上面几种隐藏功能后就不在叫木马。而有一个新的名字。就叫ROOTKIT
      

  4.   

    楼上的,我记得ROOTKIT还是木马的一种啊?中文好像称呼为:内核级后门?
      

  5.   

    LZ用PSAPI做的吧~,用depands看了一下.现在这种东西只能算是玩玩的了,因为使用PSAPI最容易被HOOK掉.最简单的就是测试网上那段隐藏代码,在LZ里的看不到.
    特别是PSAPI这些win32层次的东西,最容易被HOOK,用detours就能轻松搞定了.用NTDLL的导出函数还好点,但还是很容易被HOOK.而且LZ是静态调用API的,很容易就被人识破用什么东西做的.还不如用IceSword这类rootkit 检测工具划算.
      

  6.   

    应该加上DLL检测,API监控,现在的木马几乎都是注入型的,监控CreateRemoteThread,SetWindowHook等这些危险级别的API就能把许多木马拒之门外了.另外木马加载自己也并非那几键,如GINA,winlogon notify package这些不常见,但DLL木马却可以利用的.还有修改系统文件加载自己,LZ可以检测每个系统文件有没被修改过.
      

  7.   

    谢谢BLsoft(網龍ζ龍活)的指教!
    KeSummer:
    嗯,现在的好多dll木马,都是远程插入的,之前这个软件有察看加载了哪些dll的功能,后来很多人觉得没什么用,就去掉了!其实木马真的做到了那种程度,就不叫什么木马了,它完全可以做成驱动或者替换gina——微软根本就提供了合法的接口给开发人员替换掉默认的gina。
       如果要用暴力入侵winlogon,好像已经不行了,win2000以上可以,但是win2003就不行了!
     至于修改系统文件加载自己的,也是比较深的技术了,毕竟微软的系统文件保护,还是做的蛮全的,我看过那种可以修改系统文件的木马,好像先要去掉微软的文件保护机制。 我自己也写过一个隐藏文件的小驱动,呵呵,hook到这种地步的木马,你根本无法查杀,它总是有更底层的办法。
      

  8.   

    其实木马真的做到了那种程度,就不叫什么木马了,它完全可以做成驱动或者替换gina——微软根本就提供了合法的接口给开发人员替换掉默认的gina。
    ------------------------------
    在win2000下,GINA所有的导出函数都有了,而xp/2003下存在无名函数的问题,要替换msgina是比较困难,可是已经做到了,现在就是其中的16号函数问题.替换msgina只是函数转发的问题,你要代码我可以给你噢.完全不用注册表.而在xp下不知道为什么会导致UIHOST崩溃.修改系统文件的方法其实就是病毒感染的方法,例如修改IAT,或者在程序入口点添加一小段代码去加载自己.网上也有相关的例子,如MS 的 DETOURSL里面那个SetFile的例子就是一个了.查看DLL是很必要的.很多DLL木马不是以DLL结尾的.例如PCSHARE其中一个模块是asf后缀,pswqq.hr病毒是sys结尾的,而且是在ie文件目录,一看dll就知道他们是病毒了.
      

  9.   

    我自己也写过一个隐藏文件的小驱动,呵呵,hook到这种地步的木马,你根本无法查杀,它总是有更底层的办法。
    -------------------------
    只有谁先HOOK的问题,还有HOOK DRIVER这种东西的.
      

  10.   

    KeSummer:
    替换gina的方法其实还是挺简单的,只要做一个具有相同接口函数的dll给winlogon调用就是了,大部分可以转发msgina.dll里面的函数。
    可是那个还是要在注册表里面设置,修改winlogon默认调用的gina链接库。 我不知道你是否感染过微软的系统文件,它和感染普通文件还是有些区别的,就是我上面说的,它有个自我保护机制,不信你删掉某个系统文件试试,比如regedit.exe,我在2003下是试过它被感染后,又会自我恢复的!
     感染普通文件的方式很简单,就是修改导入表或者更改入口点,这个我们都做过! dll文件确实比较烦,每个进程都会调很多个,夹杂在里面很难看出来,呵呵,不过很少木马会不用dll后缀,因为没必要,真正懂得关心dll的人,都知道loadlibary函数根本不要求那个dll必须是dll后缀,它改成其他后缀,也没有什么迷惑性!
      

  11.   

    我感染的就是winlogon.exe这个系统文件啊,的确是有文件保护机制,但别忘了是那个进程做的,当时我在XP SP2下感染winlogon的方式是直接结束winlogon然后在死机前几秒完成的.还有MoveFileEx加上延迟删除很方便的.PS:昨晚装了vista 5552,它的任务管理器功能强大多了.多了进程描述,服务(这个喜欢,因为它可以直接转到服务进程)等等.直接结束象csrss之类的.它的系统监视器很棒...
      

  12.   

    哈,我也一直在测试vista,3天前装好了5552版本,不过还是不稳定,一个event log服务出现异常,就不停的自己重启!后来还是我手动停了那个服务才行。
     而且不让我激活了,那可是我自己申请的cdkey啊。
        嗯,用movefileex是很方便,几乎所有的系统文件都可以替换!微软给系统打补丁就是用这个函数!