Cómo descompilar un programa troyano
RFC1244 (Solicitud de comentarios:1244) describe los troyanos de esta manera: "Un troyano es un programa que proporciona alguna funcionalidad útil o simplemente interesante. Pero también tiene otras funcionalidades desconocidas para el usuario, como copiar archivos". o robar contraseñas de usuarios sin su conocimiento." Con el rápido desarrollo de Internet, los caballos de Troya se están volviendo cada vez más agresivos y dañinos. Un troyano es esencialmente un programa que debe ejecutarse para funcionar, por lo que dejará rastros en la tabla de procesos y en el registro. Podemos "verificar, bloquear y eliminar" su "comportamiento arbitrario".
Verificar
1. Verifique el proceso del sistema
La mayoría de los programas troyanos se mostrarán en el administrador de procesos, así que analice y filtre la lista de procesos del sistema para detectarlos. programas sospechosos. En particular, las anomalías se encuentran al comparar el uso de recursos de la CPU y el recuento de manejo con los procesos normales.
2. Verifique el registro, los archivos ini y los servicios
Los programas troyanos a menudo agregan entradas de registro a las siguientes opciones en el registro para ejecutarse automáticamente después del inicio:
p>
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\CurrentVersion\ Ejecute
HKEY_LOCAL_MACHINE\Software\Microsoft\Run Windows\CurrentVersion\RunOnceEx
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\Software\Windows \ CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\Software\Windows\CurrentVersionMACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
Los troyanos también se pueden encontrar en "run=" en Win.ini y System.ini " y "load=", "load=" y "shell=" se cargan después de Win.ini y System.ini. Si no reconoce el programa cargado después de estas opciones, puede ser un troyano caballo. El truco más común utilizado por los troyanos es cambiar el "Administrador de recursos" por el nombre de su propio programa. Simplemente cambie la letra "l" en "Administrador de recursos" por un número. "l" al número "1", o cambie la "o" al número "0". Es difícil de encontrar sin una observación cuidadosa.
En Windwos NT/2000, el troyano se agregará como un servicio al sistema e incluso reemplazará a voluntad los programas de servicio que no se hayan iniciado en el sistema para lograr la carga automática. Se deben comprobar los servicios del sistema operativo.
3. Verificar los puertos abiertos
Troyanos de control remoto y troyanos de shell, la mayoría de ellos escucharán un determinado puerto en el sistema, recibirán comandos de la consola y los ejecutarán. Al comprobar algunos puertos "extraños" abiertos en el sistema, puede encontrar pistas sobre el caballo de Troya. Escriba Netstat na en la línea de comando para ver los puertos y conexiones abiertos en su sistema.
También puede descargar el software Fport desde www.foundstone.com. Después de ejecutar el software, podrá conocer el nombre del proceso, el número del proceso y la ruta del programa del puerto abierto, lo que proporciona una manera conveniente de encontrar "troyanos".
4. Supervisar la comunicación de red
Para algunos troyanos que utilizan comunicación de datos ICMP, el extremo controlado no abre ningún puerto de escucha, no necesita revertir la conexión y no se establece. una conexión. Utilice el primero. Los tres métodos para comprobar los puertos abiertos simplemente no funcionarán. Puede cerrar todos los procesos de actividad de la red y luego abrir el software Sniffer para monitorear, de modo que cuando todavía haya una gran cantidad de datos, básicamente pueda determinar que se está ejecutando un troyano en segundo plano.
Bloquear
1. Bloquee la ruta de control
Si su conexión de red está deshabilitada o la conexión de acceso telefónico se cancela y se producen fenómenos anormales como inicios repetidos. y la ventana que se abre desaparece, entonces puede determinar que su computadora tiene un caballo de Troya. Al deshabilitar las conexiones de red o desconectar los cables de red, puede evitar por completo que las computadoras remotas lo controlen a través de la red. Por supuesto, también puedes cerrar o filtrar los puertos UDP, TCP e ICMP a través del firewall.
2. Elimina el proceso sospechoso
Si verificas el proceso sospechoso a través de Pslist y eliminas el proceso sospechoso con Pskill, si la computadora es normal, significa que el proceso sospechoso está controlado. por una computadora remota a través de la red, por lo que la computadora es anormal.
Eliminar
1. Eliminación manual
Para algunos archivos sospechosos, no se pueden eliminar inmediatamente. Es posible que la computadora no funcione correctamente debido a la eliminación accidental de archivos del sistema. Primero, haga una copia de seguridad de los archivos y el registro sospechosos, luego use el editor Ultraedit32 para ver primero la información del archivo y obtenga una comprensión general del troyano a través de los caracteres de texto sin formato en los archivos sospechosos. Por supuesto, los expertos también pueden utilizar software de descompilación especial como W32Dasm para realizar análisis estáticos de archivos sospechosos, ver la lista de funciones importadas del archivo y los segmentos de datos, y comprender inicialmente las funciones principales del programa. Finalmente, elimine los archivos y claves troyanos del registro.
2. Software antivirus
Debido al continuo avance de la tecnología de escritura de troyanos, muchos troyanos cuentan con mecanismos de autoprotección. Es mejor que los usuarios comunes utilicen software antivirus profesional como Rising, Kingsoft Antivirus y otros programas antivirus. El software antivirus debe actualizarse a tiempo y aprender las técnicas de prevención y eliminación de nuevos troyanos a través de anuncios de virus. o descargue un software antivirus especial para antivirus (por ejemplo, las herramientas para eliminar virus de onda de choque desarrolladas recientemente por las principales empresas).