透析Svchost进程清除后门

        网上有很多关于Svchost.exe的讨论,我们今天首先来看一下Svchost.exe的原理,工作方法,然后结合著名DLL木马,实战了解一下使用Svchost.exe进行启动的木马的清除,希望大家能够有所收获。

Svchost.exe 是NT核心系统非常重要的文件,对于Windows  2000/XP来说,不可或缺。Svchost进程提供很多系统服务,如: logical  disk  manager、remote  procedure  call(RPC)、dhcp  client、 Automatic  Updates、Background  Intelligent  Transfer  Service、COM+   Event  System、Internet  Connection  Sharing、Network  Connections、 Portable  Media  Serial  Number  Service、 Remote  Access  Auto  Connection  Manager、 Remote  Access  Connection  Manager、Removable  Storage、 Routing  and  Remote  Access、System  Event  Notification、Telephony、 Wireless  Configuration等等。

对于服务中使用Svchost.exe加载了哪些动态链接库,我们可以在服务中点击上面列出的某个服务来看看。比如我们要看Automatic  Updates服务,就可以在在它上面点击鼠标右键,看它的属性。

同样情况下,如果读者还想进一步了解其它的那些服务是怎样使用Svchost.exe的,可以使用与上面相同的方法来观察一下。

聪 明的读者一眼就可以看出,Svchost.exe对于系统来说是多么的重要了。也正是因为Svchost.exe的重要性,所以病毒、木马也想尽办法来利 用它,企图利用它的特性来迷惑用户,达到感染、入侵、破坏的目的。那么应该如何判断到底哪个是病毒进程呢?正常的Svchost.exe文件应该存在于 “C:/Windows/system32”目录下,如果发现该文件出现在其他目录下就要小心了。另外,黑客们为了使用Svchost.exe达到进程欺 骗的目的,有可能使用一些迷惑性的名字,如将字母o变成数字0(零),这样程序的名称就变成了svch0st.exe了,如果不注意观察,很容易逃过普通 用户的眼睛。

通常情况下,为了确定我们的计算机中正在运行的Svchost.exe是不是真正的系统的Svchost.exe,我们可以使用如下方法来查看。Svchost.exe文件的调用路径可以通过“计算机管理→系统工具→系统信息→软件环境→正在运行任务”来查看。

这 里仅举一例来说明。假设Windows  XP系统被“w32.welchia.worm”感染了。正常的Svchost文件存在于“c:/ Windows/system32”目录下,如果发现该文件出现在其他目录下就要小心了。“w32.welchia.worm”病毒存在于“c:/ Windows/system32wins”目录中,通过使用上面说的方法就可很容易地查看到所有的Svchost进程的执行文件路径,一旦发现其执行路 径为不平常的位置就应该马上进行检测和处理。

现在我们已经搞清楚了一部分疑问,但是,我们还不知道哪个服务调用了哪个动态链接库文件,是 不是没有办法呢?如果没有地方可以找到,那么Windows自己又是如何知道调用哪一个呢?大家知道,Windows将所有的系统信息和应用程序信息都保 存在了系统注册表中,所以,我们可以在注册表中找找看。

下面以Remote  Procedure  Call(RPC)服务为例,来看 看Svchost进程是如何调用DLL文件的。在Windiws中,打开服务,然后打开“Remote  Procedure  Call(RPC)”属 性对话框,可以看到Remote  Procedure  Call(RPC)服务的可执行文件的路径为“C:/WINNT/system32/ Svchost  -k  rpcss”,这说明Remote  Procedure  Call(RPC)服务是依靠Svchost调用“rpcss” 参数来实现的,而参数的内容则是存放在系统注册表中的。

在运行对话框中输入“regedit.exe”后回车,打开注册表编辑器,找到 “HKEY_LOCAL_MACHINE/System/currentcontrolset/services/  rpcss”项。然后,再在里面找 到类型为“reg_expand_sz”的“Imagepath”项,其键值为“%SystemRoot%/system32/Svchost  - k  rpcss”(这就是在服务窗口中看到的服务启动命令),另外在“parameters”子项中有个名为“ServiceDll”的键,其值为“% SystemRoot%/system32/rpcss.dll”,其中“rpcss.dll”就是Remote  Procedure  Call (RPC)服务要使用的动态链接库文件。这样Svchost进程通过读取“rpcss”服务注册表信息,就能启动该服务了。

同样情况下,如果有程序试图蛮天过海,假借Svchost.exe来启动自己的动态链接库文件(如将木马作成动态链接库文件),那么我们就可以从这里找到DLL木马的路径,将它大白于天下。

如 果要了解每个Svchost进程到底提供了多少系统服务,可以在Windows  2000的命令提示符窗口中输入“tlist  -s”命令来查看,该 命令是Windows  2000  support  tools提供的。不过,在这里看到的效果跟服务里面看到的是一样的,只不过是DOS界面而已。   

小知识:在Windows  xp下则使用“tasklist  /svc”命令会收到同样的效果。

由于篇幅的关系,不能对Svchost全部功能进行详细介绍,这是一个Windows中的一个特殊进程,有兴趣的可参考有关技术资料进一步去了解它。

下 面,我们通过一个实例来看一下木马程序是如何利用Svchost.exe进行启动的。这里,我选择了PortLess  BackDoor  V1.2来 做演示,这是一个使用Svchost.exe去启动,平时不开端口,可以进行反连接的后门程序(和小榕的BITS是同一类型的后门)。

为 了看一下这个后门是如何利用Svchost.exe进行启动的,我们在运行软件之前,先给注册表做一个快照,这里我选择了 Regshot  1.61e5  final版本,并将初始快照命名为1.hiv。然后我们将Portlessinst.exe和 Svchostdll.dll(不要改名)上传到系统目录(%winnt%/system32目录中)。

接下来,进入命令行,使用 “Portlessinst.exe  -install  ActiveString  Password”进行安装,这里的ActiveString 就是连接那系统打开的端口后输入的验证字符串,这里的密码是使用正向连接你连接上后门打开的端口时需要输入的密码。比如,我输入如下:
portlessinst.exe  –install  smiler  wind_003
这样就安装上去了,我们来看一下注册表里的变化。将1.hiv装载进Regshot中的1st  shot,然后对当前的注册表做2st  shot的快照,然后使用compare进行比较,其比较的结果如下:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Internet  Explorer/PortLess/FdsnqbTsuni`:  "tjnkbu"
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Internet  Explorer/PortLess/Wfttphuc:  "tofiXdo"
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/IPRIP/Security/Security:
01  00  14  80  A0  00  00  00  AC  00  00  00  14  00  00  00  30  00  00  00  02  00  1C  00 
01  00  00  00  02  80  14  00  FF  01  0F  00  01  01  00  00  00  00  00  01  00  00  00  00 
02  00  70  00  04  00  00  00  00  00  18  00  FD  01  02  00  01  01  00  00  00  00  00  05 
12  00  00  00  63  00  6F  00  00  00  1C  00  FF  01  0F  00  01  02  00  00  00  00  00  05 
20  00  00  00  20  02  00  00  6D  00  00  00  00  00  18  00  8D  01  02  00  01  01  00  00 
00  00  00  05  0B  00  00  00  20  02  00  00  00  00  1C  00  FD  01  02  00  01  02  00  00 
00  00  00  05  20  00  00  00  23  02  00  00  6D  00  00  00  01  01  00  00  00  00  00  05 
12  00  00  00  01  01  00  00  00  00  00  05  12  00  00  00
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/IPRIP/Parameters/ServiceDll:  "C:/WINNT/system32/Svchostdll.dll"
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/IPRIP/Parameters/program:  "SvchostDLL.exe"
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/IPRIP/Parameters/Interactive:  0x00000000
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/IPRIP/Type:  0x00000020
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/IPRIP/Start:  0x00000002
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/IPRIP/ErrorControl:  0x00000001
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/IPRIP/ImagePath:  "%SystemRoot%/System32/Svchost.exe  -k  netsvcs"
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/IPRIP/DisplayName:  "Intranet  Services"
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/IPRIP/ObjectName:  "LocalSystem"
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/IPRIP/Security/Security: 
01  00  14  80  A0  00  00  00  AC  00  00  00  14  00  00  00  30  00  00  00  02  00  1C  00 
01  00  00  00  02  80  14  00  FF  01  0F  00  01  01  00  00  00  00  00  01  00  00  00  00 
02  00  70  00  04  00  00  00  00  00  18  00  FD  01  02  00  01  01  00  00  00  00  00  05 
12  00  00  00  63  00  6F  00  00  00  1C  00  FF  01  0F  00  01  02  00  00  00  00  00  05 
20  00  00  00  20  02  00  00  6D  00  00  00  00  00  18  00  8D  01  02  00  01  01  00  00 
00  00  00  05  0B  00  00  00  20  02  00  00  00  00  1C  00  FD  01  02  00  01  02  00  00 
00  00  00  05  20  00  00  00  23  02  00  00  6D  00  00  00  01  01  00  00  00  00  00  05 
12  00  00  00  01  01  00  00  00  00  00  05  12  00  00  00
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/IPRIP/Parameters/ServiceDll:  "C:/WINNT/system32/Svchostdll.dll"
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/IPRIP/Parameters/program:  "SvchostDLL.exe"
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/IPRIP/Parameters/Interactive:  0x00000000
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/IPRIP/Type:  0x00000020
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/IPRIP/Start:  0x00000002
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/IPRIP/ErrorControl:  0x00000001
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/IPRIP/ImagePath:  "%SystemRoot%/System32/Svchost.exe  -k  netsvcs"
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/IPRIP/DisplayName:  "Intranet  Services"
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/IPRIP/ObjectName:  "LocalSystem"

可 以看出,PortLess  BackDoor  V1.2将自己注册为了服务IPRIP,它使用的启动参数是"%SystemRoot%/ System32/Svchost.exe  -k  netsvcs",它使用的DLL文件是"C:/WINNT/system32/ Svchostdll.dll"。通过这里,我们就可以找到PortLess,将它使用的服务禁止掉,然后将对应的DLL文件删除,并将注册表中这些多出 来的键值干掉,三下五除二就将Portless弄得一干二净!现在大家知道怎么清理掉用Svchost加载的后门了吧?! 
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值