篇首语:

　　　 现在的木马越来越厉害，从Ring 3 到期 Ring 0直接杀进来。本文亦是从大概原理出发，配合工具挖掘出这只“千里马”。

测试环境：
　　　Windows Xp
　　　终截者入侵阻止 v5.0
　　　安全分析专家 v0.4
　　　IceSword v1.16
　　　反病毒调试程序 v1.2
　　　Process Explorer v10.11
　　　还有纸和笔…

开始了。。。

　　 首先，还是要先激活这只“睡马”，醒了之后才会去找主人的。

　　　终截者入侵阻止中的“安全预警“拦截了，正问是否要放过这只“马”呢，一看，既然是自己玩的“马“，当然要“允许”啦。　 很快，文件监视器生效了，可以在“病毒监控”框中记录下这只马跑过的地方，下过的蛋。。。嘿嘿。。

把记录复制出来看看：

创建时间：　2006-06-15 14:31:37
位 置：d:\windows\system32\yumhyeuj.d1l
>>> 注意， 这个文件的后缀是 .d1l (中间的是 数字 1 )
创建时间：　2006-06-15 14:31:37
位 置：d:\windows\system32\drivers\yumhyeuj.sys
>>> 驱动保护。驱动名：Yumhyeuj

创建时间：　2006-06-15 14:31:37
位 置：d:\windows\system32\yumhyeuj.dll
>>> 注意，这个后经缀是字母 .dll

创建时间：　2006-06-15 14:31:48
位 置：d:\windows\system32\config\systemprofile\local settings\temporary internet files\content.ie5\qg85n3v1\xiaoyin[1].txt
>>>> 内容为：221.235.234.211:80

创建时间：　2006-06-15 14:32:19
位 置：d:\docume~1\cyq\locals~1\temp\yumhyeuj.log

看看还有什么漏网之鱼，拿出“安全分析专家”，GO GO GO

　　发现了一个隐藏进程和一个隐藏服务， 这里没有显示出 “完整的路径名称” 是否为BUG？

　　注： 在注册表中可以找到具体的而且是完整的路径名称：\??\D:\WINDOWS\System32\drivers\Yumhyeuj.sys <? 马脚露出来了 （是否在编程读取路径时碰到\??导致读取失败）

还有一个dll,则进来这里了。

想要去搜索这些文件，愣是没有找到？？？ 怎么可能？ 难道这是一只“天马”？

在CMD及资源管理器中是看不到这些病毒的存在的。

使用IceSword 查看SDT表， 原来系统被HOOK了文件的查找。

[quote]
d:\windows\system32\drivers\Yumhyeuj.sys 0x8058c1f4 NtQuerySystemInformation
d:\windows\system32\drivers\Yumhyeuj.sys 0x805961e4 NtQueryDirectoryFile
在这两个函数中无论是从CMD下还是在资源管理器中，实现了隐藏指定文件名的功能！
d:\windows\system32\drivers\Yumhyeuj.sys 0x805843fb NtQueryValueKey
d:\windows\system32\drivers\Yumhyeuj.sys 0x805997c4 NtDeviceIoControlFile
d:\windows\system32\drivers\Yumhyeuj.sys 0x8057e323 NtEnumerateKey
d:\windows\system32\drivers\Yumhyeuj.sys 0x8056b5f7 NtEnumerateValueKey
d:\windows\system32\drivers\Yumhyeuj.sys 0x8058372f NtOpenKEY
[/quote]
再用记事本打开d:\docume~1\cyq\locals~1\temp\yumhyeuj.log看看它里面有什么内容

记录的格式：

[quote]
时间 窗口 路径名称
[2006-06-15 14:54:21] 口令 C:\Program Files\Foxmail\Foxmail.exe
**** &ccedil; 这里存放记录的口令
[2006-06-15 14:54:25] 口令 C:\Program Files\Foxmail\Foxmail.exe
**** <= 这里存放记录到邮箱密码
[2006-06-15 14:54:28] 解析主机地址 C:\Program Files\Foxmail\Foxmail.exe
[/quote]

小结：
　　这只马首先会生成以下三个文件 yumhyeuj.d1l 、yumhyeuj.sys 、yumhyeuj.dll
还有一个是yumhyeuj.log，这里记录着你输入的任何一个键盘信息，包括你的帐号与密码
而xiaoyin[1].txt这个文件则记录着这只马的老家地址，发送个指令什么的。偶尔发送些东西什么的。。。
然后，在一瞬间的时间，Process Explorer 中显示，Svchost.exe 正创建一个进程Iexplorer.exe (正常的浏览器进程)，只是被注入了两个DLL（yumhyeuj.d1l 、yumhyeuj.dll），实现其隐藏进程功能及监听TCP 1030 端口。
从哪个.sys的文件来看，系统是被创建了驱动服务。

清除：
　　打开注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services，删除服务名为：Yumhyeuj 的驱动服务。
这里记得不要急着去终止那个具有隐藏进程的Iexplorer.exe进程，一旦被终止，系统会被重启！
恢复 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dmserver\Parameters下的ServiceDll = %SystemRoot%\System32\dmserver.dll
被替换掉的内容参见下图

最后，重新启动后，删除三个小马（yumhyeuj.d1l 、yumhyeuj.sys 、yumhyeuj.dll）OK。世界清静啦！

完结！