很多朋友都遇到過自己感覺好像被植入了惡意程式,可在進程任務管理器中卻找不到可疑進程的情況,這到底是怎麼回事呢?其實這是駭客耍的小把戲,讓惡意進程“透明”了。他們具體是怎麼做的呢?下麵我們用遠程控制軟體Radmin和進程隱藏程式BlueStarHide來演示進程是如何“透明”的。
進程為什麼會從任務管理器中消失呢?Windows操作系統中有個進程鏈表,保存了當前系統運行的所有進程的資訊。用駭客工具除去進程鏈表中的進程,就可以達到隱藏進程的目的,從而使進程在任務管理器中無法正常顯示。
第一步 配置Radmin服務端
首先運行《Radmin生成器》(軟體下載地址http://www.cpcw.com/bzsoft),在“安裝檔案名”選項中設置服務端程式的名稱,也就是該服務端程式進程的名稱。接著設置服務端程式的啟動服務,用戶可以按照自己的想法設置“安裝服務名”、“服務顯示名”、“服務描述”等選項。然後在“密碼”和“端口”選項中設置用於服務端程式連接的端口和密碼,端口號只能填寫數字並且最多為5位,密碼不要採用特殊字元。
最後點擊“生成被控端”按鈕,就會生成我們需要的Radmin服務端程式。在生成被控端的同時,生成器也同時生成了一個名為Clear.exe的檔,它是用來清除被控端的。
第二步 上傳隱藏進程程式
現在將生成的服務端程式上傳到遠程系統並運行,接著運行Radmin的客戶端程式,並點擊工具欄中的“添加新連接”,然後在彈出的窗口設置遠程服務端的IP地址和連接端口。
設置完成後,遠程電腦系統將自動添加到控制窗口。點擊滑鼠右鍵中的“檔傳輸”命令,在彈出的窗口中將進程隱藏程式BlueStarHide(軟體下載地址http://www.cpcw.com/bzsoft),通過拖曳的方式上傳到遠程電腦系統中。
第三步 執行進程隱藏操作
由於進程隱藏程式BlueStarHide不能在Windows環境中直接運行,而只能在命令提示符窗口操作。因此在Radmin的客戶端中,點擊滑鼠右鍵中的“Telnet”命令,然後在彈出的Telnet窗口中用CD命令進入BlueStarHide所在的目錄
。
BlueStarHide的使用方法非常的簡單,只要執行:BlueStarHide Server.exe命令即可隱藏服務端進程Server.exe(進程名可以變)。然後打開任務管理器,在彈出窗口的進程標籤中已經無法看到Server.exe了。
藏得再深也能揪出來
雖然通過系統的任務管理器不能進行查看,但是通過《冰刃》等內核級的安全工具,仍然可以輕鬆地檢測到隱藏進程的存在。並且為了提醒用戶的注意程度,《冰刃》還專門通過醒目的紅色來對隱藏的進程進行標注(如圖4)。當然並不是沒有紅色的進程就萬事大吉,大家最好同時打開任務管理器和《冰刃》,通過對兩個進程列表中的資訊進行對比,這樣可以更為穩妥地發現隱藏的進程資訊。 |
