以往Xcode、putty等下载软件被安装后门,最近又爆出xshell被安装后门,一些常用下载软件被安装后门几乎成了常态。怎么用简单方法检查后门、监视自己系统就成了一种生存秘籍。 以往APT对抗时一些简单的检查后门的方法和经验,就可以用来对付这些软件中的后门。因为是APT对抗时的检查后门,为了不被对方发现,检查方法都非常简单实用,基于一些常见工具或者系统的一些简单配置。 思路1是检查系统中的异常模块,2是检查数据特别是DNS请求。如果比较懂一点,再深入一些检查,基本上这些常见的针对大众的攻击就能避免。 这些都是些实战经验,还有dlllist过滤0x10000000地址查木马,vc默认模块地址0x10000000,微软为了加快加载地址不冲突自己的模块都错开分配好了的,而绝大多数木马开发者不懂这些,简单工具就过滤90%以上木马。再配合我的独门绝技打开Dnsrslvr.log记录DNS,基本上简单的手工就可以查出起码95%以上木马。 原来windows自己的dns请求有个记录文件,默认没有打开。 system32目录下创建 echo aa > dnsrslvr.log 设置权限 cacls dnsrslvr.log /g everyone:f 重启动dns client ,net stop 'dns client' ,net start 'dns client' . 原来我查马的dns记录都用这个办法,曾经和别人“打架”抢重要机器就用这招,别人的马和中转站老被我端。还有我手动查没有rootkit的各种未知马,还是很有一套的,很简单一会儿就基本上90%以上的准确率。 头几天win8下面测试好像不行了,晚上回去确认下是否是64位目录的原因。 32位win7下面找到不能成功记录的原因了,dnsrslvr.log and dnsrsvlr.log,回去看看win8、64位win8下能不能成功。 搜索还找到老外和msdn的文档了。 (责任编辑:本港台直播) |