【10-01】[原创]【进程管理】[国庆小礼物]knlps将木马驱逐出境～

维兰 · 发表于 2006-10-1 12:41:40

马上注册，结交更多好友，享用更多功能，让你轻松玩转社区。

您需要登录才可以下载或查看，没有帐号？注册

x

开学了没时间。称国庆在做一个教程～～

将木马驱逐出境～
你装了卡巴斯基并且天天升级？
还装了防火墙？
你的电脑很安全吗？
那可未必。
一心想让你中马的我＋没有安全意识的你＝你的电脑必然是肉鸡。 [s:33]

需要解释的是，杀毒软件对病毒有很好的查杀效果，但是对于加壳木马几乎是无能为力。
这个以后也许会和大家系统的说下。
现在进入正题～

介绍软件～这个是一个外国牛人编的软件
Kelnel PS,可以列出当前系统所有进程并杀掉指定的进程。
什么？你说任务管理器？。。 [s:23]
没错，但是一旦进程被hook，任务管理器里是看不到的。
而且，任务管理器是有保护机制的，系统关键进程结束不了得。
但这都为木马创造了条件。
kernel ps是基于系统内核的，不存在这个问题。

Kernel PS一共2个文件共27。5kb，使用的时候2个文件要放在一个目录下。
下面说下如何使用。
解压先～到你想要的目录。
在cmd命令行（开始>运行>cmd）下，找到kelnel ps所在目录。
用knlps -l
查看当前进程。
下面引用一段。
查看当前进程。
[qoute]D:\knlps v0[1].4>knlps -l

  PID   Name            Path
  ---   ----            ----
  4   System
  452   smss.exe      \SystemRoot\System32\smss.exe
  512   csrss.exe       \??\C:\WINDOWS\system32\csrss.exe
  544   winlogon.exe    \??\C:\WINDOWS\system32\winlogon.exe
  592   services.exe    C:\WINDOWS\system32\services.exe
  604   lsass.exe       C:\WINDOWS\system32\lsass.exe
  784   svchost.exe   C:\WINDOWS\system32\svchost.exe
  920   svchost.exe   C:\WINDOWS\System32\svchost.exe
  1232   explorer.exe    C:\WINDOWS\Explorer.EXE
  1400   CltSrv.exe      C:\Program Files\Richtech\GxpClient\CltSrv.exe
  1448   conime.exe      C:\WINDOWS\System32\conime.exe
  1508   svchost.exe   C:\WINDOWS\System32\svchost.exe
  1604   internat.exe    C:\WINDOWS\system32\internat.exe
  1600   wdfmgr.exe      C:\WINDOWS\System32\wdfmgr.exe
  1672   msysdll.exe   C:\WINDOWS\System32\msysdll.exe
  1868   QQ.exe          E:\Program Files\Tencent\QQ\QQ.exe
  1916   TIMPlatform.exe E:\Program Files\Tencent\QQ\TIMPlatform.exe
  976   IEXPLORE.EXE    C:\Program Files\Internet Explorer\IEXPLORE.EXE
  344   d2hackmap.exe   D:\M\d2hackmap.exe
  3544   cmd.exe         C:\WINDOWS\System32\cmd.exe
  3784   cmd.exe         C:\WINDOWS\system32\cmd.exe
  4048   knlps.exe       D:\knlps v0[1].4\knlps.exe
[\qoute]

可以看到，列出了所有的进程。
之后用knlps -k [进程id]杀掉不顺眼的进程
上面的PID第一列就是进程id。
比如我想杀掉
1868   QQ.exe          E:\Program Files\Tencent\QQ\QQ.exe
这个，那么他的进程号是1868
杀掉他就是用
knlps -k 1868
成功后会显示
Kill process (pid 1868) successfully.
成功杀掉了～

就是这样。
下面说说如何应用。
看这么多进程有点头晕？
其实大多数进程都是系统自带进程。
遇到陌生的进程就去，google一下就可以了，一般都可以找到答案。
推荐在刚装好系统的时候就坐一下记录
所有系统进程就有数了。
比如
knlps -l > pro.txt
就是把当前进程列表保存到当前目录的pro.txt下。
以后在遇到怀疑中马的时候，就和之前的比较一下。

就可以确定多了那些进程。
有很多马杀毒软件只能查不能杀。
那是因为进程不能被结束
使用knlps结束后就可以顺利杀掉。

你还可以与自带任务管理器所列进程比较一下。看到多出的进程就要特别注意。

下载已补种，有效期至2006-11-28 12:16:41

我已经写了这个工具的图形界面程序，详见：http://www.livejh.com/ba/read.php?tid-36635.html

祝大家上网愉快～～～

维兰 · 发表于 2006-10-1 12:41:59

我已经将此软件传到vdisk上。
大家可以用下面连接下载。
下载

里面有一个pro.cmd，运行就可以将当前进程保存为
pro.txt。

聚贤さず居 · 发表于 2006-10-1 12:45:10

据说卡吧扫毒那个叫慢啊~~~~~~没用过

暗语 · 发表于 2006-10-1 12:59:35

引用第4楼371505634于2006-10-01 12:46发表的“”:
看不大懂饿。。。。 [s:34]

确实看不懂哦~

marsdir · 发表于 2006-10-1 23:33:31

说卡巴那个我不赞同加壳的木马不一定就杀不了只是时间的问题每到一个新壳木马虽然当时杀不了
但是经过更新不出3天卡巴是可以识别的这个我试过 2005年到2006年现在灰鸽子木马的几个变种和多个新壳我都试过最长壳的“保质期”也不过5天这点我还是比较相信卡巴的现在病毒不是你点网页点下东西才能传上的 ~~

marsdir · 发表于 2006-10-1 23:36:04

另外加壳的木马在加壳状态是不会动作的可怕的是木马本身已经内存免杀了
卡巴内核扫描原理和国内甚至一些国外软件是不一样的比较独特
扫描慢到是真的但是在监视不扫秒的情况下卡巴占用内存比起国内些杀毒要小些
真正隐藏的进程这个杀毒也是看不见的

爱.贤.不.变 · 发表于 2006-10-1 23:41:16

看到星星了 [s:39]

jerome · 发表于 2006-10-2 00:03:24

顶~~~下~~~~~~~~~~~~~~

●S㏕e＆龍℡ · 发表于 2006-10-2 00:07:17

[s:31] ``顶~~~~~~~~~~~

维兰 · 发表于 2006-10-2 12:02:57

引用第6楼marsdir于2006-10-01 23:33发表的“”:
说卡巴那个我不赞同加壳的木马不一定就杀不了只是时间的问题每到一个新壳木马虽然当时杀不了
但是经过更新不出3天卡巴是可以识别的这个我试过 2005年到2006年现在灰鸽子木马的几个变种和多个新壳我都试过最长壳的“保质期”也不过5天这点我还是比较相信卡巴的现在病毒不是你点网页点下东西才能传上的 ~~

呵呵，mar同志也很了解么。。。。。。。
但是你知道hxdef100不？
你用卡巴试试。。。。。。。。。
有空切磋一下啊～～～～～

q86554825 · 发表于 2006-10-2 18:06:48

顶顶。

slzjj · 发表于 2006-10-2 18:19:27

搞个破解的卡巴来吧呵呵

ＪＯＫＹ · 发表于 2006-10-2 18:39:16

你说的那个...我觉得还是卡吧的瑞星的比较好吧

marsdir · 发表于 2006-10-2 20:35:16

引用第11楼维兰于2006-10-02 12:02发表的“”:

呵呵，mar同志也很了解么。。。。。。。
但是你知道hxdef100不？
.......

我没什么技术不敢切磋~
后门程序有人叫他超级后门黑防 2004年出的
很少有人用了内核木马自己做的特征码也许还行
不过这个程序功能一般

marsdir · 发表于 2006-10-2 20:36:27

破解的卡巴我在这里发过自己找吧 2007年7月10来号之前都可以在线升级

阿童木 · 发表于 2006-10-2 20:46:26

晕～～～～～～～～～～～～～～

marsdir · 发表于 2006-10-3 19:24:35

17楼有灌水倾向 [s:33]

维兰 · 发表于 2006-10-4 11:02:59

呵呵。。。。。没人用是因为会配置的人太少。
这个后门实在是很牛。
因为后门最大的特点是隐藏而不是功能有多强大。
根本不会被发现。
少数杀毒软件发现了也杀不了。
小心是最好的防御方法。

ps:mar同志我只是说想多交流一下，没有别的意思呵。。。。。。。。

marsdir · 发表于 2006-10-4 13:22:03

引用第19楼维兰于2006-10-04 11:02发表的“”:
呵呵。。。。。没人用是因为会配置的人太少。
这个后门实在是很牛。
因为后门最大的特点是隐藏而不是功能有多强大。
根本不会被发现。
少数杀毒软件发现了也杀不了。
.......

我很希望和你交朋友啊
我资料里有我的各种联系方式
你喜欢哪种加我啊一定要加啊

维兰 · 发表于 2006-10-6 10:39:12

＋你qq了 [s:14] [s:14] [s:14]

woaixianxian · 发表于 2006-10-7 02:29:23

[s:24] 碰到高手了,55555555555

维兰 · 发表于 2006-10-9 19:13:02

引用第22楼woaixianxian于2006-10-07 02:29发表的“”:
[s:24] 碰到高手了,55555555555

呵呵，高手不敢当。
术业有专攻，一切只是恰好。。。 [s:29]

@灵子 · 发表于 2006-10-29 11:15:49

谢谢楼主！！！！！！！！！！！！！

z198381 · 发表于 2006-11-7 09:44:34

晕了这么不是百分百被你黑 [s:15]

eudso · 发表于 2006-11-11 22:16:54

讲到最后就是说要自己看有哪些进程是多出来的。觉得有问题的就可以直接结束掉。
而不像有的进程没办法结束。但这样只是结束当前的进程。那下次启动呢。如果那个进程是系统启动就启动的。那不是每次机子一启动就结束那个进程。

维兰 · 发表于 2006-11-12 09:34:42

引用第26楼eudso于2006-11-11 22:16发表的:
讲到最后就是说要自己看有哪些进程是多出来的。觉得有问题的就可以直接结束掉。
而不像有的进程没办法结束。但这样只是结束当前的进程。那下次启动呢。如果那个进程是系统启动就启动的。那不是每次机子一启动就结束那个进程。

其实不是的，你一旦发现了他的踪影自然可以按照路径找到他的所在，一旦结束了进程就可以直接删掉了。如果你不嫌麻烦的话每次机子一启动就结束那个进程也可以 [s:9] 。

		自动登录	找回密码
密码			注册