可以帮助你找木马或者其它可疑程序!附有简单的查找所有自启动项目,当前运行进程,去掉木马的超级隐藏属性等功能!
最重要的是,你需要学习如何手动杀死木马,杀毒软件对很多木马已经完全无效,只能手动杀木马——利用这个工具,可以大大提高你识别木马的效率。
更新日期:
2006.1.23:
花了一下午重新做的,可以帮助你找木马或者其它可疑程序!附有简单的查找所有自启动项目,当前运行进程,去掉木马的超级隐藏属性等功能!
2006.2.08:
新加查看进程关联端口功能,不过只能在xp以上系统能用!
2006.8.21:
更新了一点,解决了以前识别文件公司信息不全面的bug,花了我好久时间,才发现原来英语的codepage有几种,而且msdn上的实例都没写出正确全面的代码来。幸亏我最后把所有的文件信息都属出来,才看出端倪来!
2006.8.30:
增加了对"AppInit_DLLs "和“load”两种启动方式的检查。
修正了一些bug!
下载地址:
www.cfxy.net/vc/killyou.exe
最重要的是,你需要学习如何手动杀死木马,杀毒软件对很多木马已经完全无效,只能手动杀木马——利用这个工具,可以大大提高你识别木马的效率。
更新日期:
2006.1.23:
花了一下午重新做的,可以帮助你找木马或者其它可疑程序!附有简单的查找所有自启动项目,当前运行进程,去掉木马的超级隐藏属性等功能!
2006.2.08:
新加查看进程关联端口功能,不过只能在xp以上系统能用!
2006.8.21:
更新了一点,解决了以前识别文件公司信息不全面的bug,花了我好久时间,才发现原来英语的codepage有几种,而且msdn上的实例都没写出正确全面的代码来。幸亏我最后把所有的文件信息都属出来,才看出端倪来!
2006.8.30:
增加了对"AppInit_DLLs "和“load”两种启动方式的检查。
修正了一些bug!
下载地址:
www.cfxy.net/vc/killyou.exe
某程序开了多个端口楼主的也只能看一个~ 太简陋了……
————————————————对了还不能查隐藏文件和注册表!呵呵,隐藏进程什么的,可能对方是用驱动或者hook之类的吧,要搞不容易啊
而且这个小工具 服务都没枚举的。
至于说 不能查 隐藏文件和注册表,不清楚什么意思?这个软件有自动去掉隐藏属性的功能,注册表有隐藏的吗?我孤陋寡闻,没听过,呵呵,我只知道注册表有默认权限不能访问的。 这个小工具,只是做个自己玩玩得了!
一般有上面几种隐藏功能后就不在叫木马。而有一个新的名字。就叫ROOTKIT
特别是PSAPI这些win32层次的东西,最容易被HOOK,用detours就能轻松搞定了.用NTDLL的导出函数还好点,但还是很容易被HOOK.而且LZ是静态调用API的,很容易就被人识破用什么东西做的.还不如用IceSword这类rootkit 检测工具划算.
KeSummer:
嗯,现在的好多dll木马,都是远程插入的,之前这个软件有察看加载了哪些dll的功能,后来很多人觉得没什么用,就去掉了!其实木马真的做到了那种程度,就不叫什么木马了,它完全可以做成驱动或者替换gina——微软根本就提供了合法的接口给开发人员替换掉默认的gina。
如果要用暴力入侵winlogon,好像已经不行了,win2000以上可以,但是win2003就不行了!
至于修改系统文件加载自己的,也是比较深的技术了,毕竟微软的系统文件保护,还是做的蛮全的,我看过那种可以修改系统文件的木马,好像先要去掉微软的文件保护机制。 我自己也写过一个隐藏文件的小驱动,呵呵,hook到这种地步的木马,你根本无法查杀,它总是有更底层的办法。
------------------------------
在win2000下,GINA所有的导出函数都有了,而xp/2003下存在无名函数的问题,要替换msgina是比较困难,可是已经做到了,现在就是其中的16号函数问题.替换msgina只是函数转发的问题,你要代码我可以给你噢.完全不用注册表.而在xp下不知道为什么会导致UIHOST崩溃.修改系统文件的方法其实就是病毒感染的方法,例如修改IAT,或者在程序入口点添加一小段代码去加载自己.网上也有相关的例子,如MS 的 DETOURSL里面那个SetFile的例子就是一个了.查看DLL是很必要的.很多DLL木马不是以DLL结尾的.例如PCSHARE其中一个模块是asf后缀,pswqq.hr病毒是sys结尾的,而且是在ie文件目录,一看dll就知道他们是病毒了.
-------------------------
只有谁先HOOK的问题,还有HOOK DRIVER这种东西的.
替换gina的方法其实还是挺简单的,只要做一个具有相同接口函数的dll给winlogon调用就是了,大部分可以转发msgina.dll里面的函数。
可是那个还是要在注册表里面设置,修改winlogon默认调用的gina链接库。 我不知道你是否感染过微软的系统文件,它和感染普通文件还是有些区别的,就是我上面说的,它有个自我保护机制,不信你删掉某个系统文件试试,比如regedit.exe,我在2003下是试过它被感染后,又会自我恢复的!
感染普通文件的方式很简单,就是修改导入表或者更改入口点,这个我们都做过! dll文件确实比较烦,每个进程都会调很多个,夹杂在里面很难看出来,呵呵,不过很少木马会不用dll后缀,因为没必要,真正懂得关心dll的人,都知道loadlibary函数根本不要求那个dll必须是dll后缀,它改成其他后缀,也没有什么迷惑性!
而且不让我激活了,那可是我自己申请的cdkey啊。
嗯,用movefileex是很方便,几乎所有的系统文件都可以替换!微软给系统打补丁就是用这个函数!