什么是内核级木马?
BYshell是内核级的木马程序,有很强的隐蔽性和杀伤力。
Byshell是一个无进程、无DLL、无启动项的、集多种Rootkit技术特征的独立功能远程控制后门程序。其利用线程注射DLL到系统进程,解除DLL映射并删除自身文件和启动项,关机时恢复。它是内核级的木马程序,主要部分工作在Ring0,因此有很强的隐蔽性和杀伤力。
黑客通常用Byshell木马程序远程控制安装了Windows NT/2000/XP/2003操作系统的机器。当Byshell被安装在一台远程计算机上后,黑客就拥有完全控制该机器的能力,并且不会被已控制机器所安装的杀毒和防火墙等软件及管理员手工检测出来。
至于如何清除楼上已经说了 不再赘述
内核级木马无法查杀应该怎么办?
内核级木马是所有木马病毒里面属于比较顽固的了,
首先,重启电脑或者开机的时候不停按电脑的F8
然后会出现一个菜单,在菜单当中,选择安全模式
进入了安全模式之后,在里面选择一下杀毒软件开启病毒查杀
全盘检测杀毒,将病毒从电脑里面找出来,然后查杀了就可以了
内核级木马是什么?
他是一个无进程、无DLL、无启动项的、集多种Rootkit技术特征的独立功能远程控制后门程序。其利用线程注射DLL到系统进程,解除DLL映射并删除自身文件和启动项,关机时恢复。它是内核级的木马程序,主要部分工作在Ring0,因此有很强的隐蔽性和杀伤力。黑客经常会用这样的木马控制他人的电脑,比如最近出现的食猫鼠病毒就是这样的木马,当他被安装在一台远程计算机上后,黑客就拥有完全控制该机器的能力,并且不会被已控制机器所安装的杀毒和防火墙等软件及管理员手工检测出来。所以这段时间很多电脑中了这个病毒却不知道,不过我有看到腾讯电脑管家的用户没收到什么损失,它即使查杀了食猫鼠病毒。想要避免内核级木马最好的方法就是在正规的网站下载软件,总之多加小心总是对的。
电脑中了内核级木马病毒,杀不掉,重启电脑还是会有。不想刷机,该怎么办
如果使用杀毒软件提示无法删除
那么你的系统所有文件都有病毒
如果不想重装系统,那么只可以重买电脑
或者安装外国的高级杀毒软件,如果还不行就重装系统/重买电脑
如何消除内核极木马?
一般的杀毒工具可以把病毒查杀掉,但是对于内核级木马病毒,能够穿透还原技术,一般的技术人员是无法解决的。作为网吧热点,针对这样难以对付的病毒,小编分享到清除内核级木马病毒的方法。
1.首先是要安装一个具备进程管理功能的安全工具软件,查看系统进程,可有经验的技术人员对可疑进程是可以识别的,点击其中的IE浏览器进程,发现其中包括了一个可疑的木马模块hack.dll。
2.下一步可以看到多个被明显标识出的系统服务,说明这些服务都不是系统自身的服务。比如像是一个和名为Hack的服务较为可疑,因为它的名称和木马模块的名称相同。
3.找出工具软件中与文件管理相关的标签,在模拟的资源管理器窗口中,按照可疑模块的路径指引,很快发现了那个可疑的木马模块文件hack.dll,。
4.找到了病毒存在的根源,接下来就是病毒的查杀了:
a,在进程管理选项中首先找到被明显标识的IE浏览器进程,选中它后通过鼠标右键中的“结束这个进程”命令清除它;
b,接着点击服务管理选项,选择名为Hack的服务后,点击右键菜单中的“删除选中的服务”命令来删除;
c,再选择程序中的文件管理选项,对木马文件进行最后的清除操作;
d,在系统的system32目录找到hack.dll和hack.exe文件后,点击右键菜单中的“直接删除文件”命令,完成对木马的最后一击;
e,然后重新启动系统再进行查看,确认木马是否被清除干净。
按照小编分享的方法,对于这些穿透还原的内核级病毒,可以做到有效的查杀,以防传染到更多的机器,种植在电脑,希望对你们有帮助。
请问内核级木马该怎么处理?用PChunter可以吗?该怎么操作?
按直接操作就是鼠标右键然后就看见了你去作者主页里面有详细教材IceSwordIceSword是一斩断黑手的利刃(所以取这土名,有点搞e,呵呵)。它适用于Windows2000/XP/2003操作系统,用于查探系统中的幕后黑手(木马后门)并作出处理,当然使用它需要用户有一些操作系统的知识作者blog/user17/pjfIceSword是一斩断黑手的利刃(所以取这土名,有点搞e,呵呵)。它适用于Windows2000/XP/2003操作系统,用于查探系统中的幕后黑手(木马后门)并作出处理,当然使用它需要用户有一些操作系统的知识。在对软件做讲解之前,首先说明第一注意事项:此程序运行时不可激活内核调试器(如softice),否则系统即刻崩溃。另外使用前请保存好您的数据,以防万一未知的Bug带来损失。IceSword内部功能是十分强大的。可能您也用过很多类似功能的软件,比如一些进程工具、端口工具,但是现在的系统级后门功能越来越强,一般都可轻而易举地隐藏进程、端口、注册表、文件信息,一般的工具根本无法发现这些“幕后黑手”。IceSword使用大量新颖的内核技术,使得这些后门躲无所躲。IceSwordFAQ进程、端口、服务篇问:现在进程端口工具很多,什么要使用IceSword?答:1、绝大多数所谓的进程工具都是利用Windows的Toolhlp32或psapi再或ZwQuerySystemInformation系统调用(前二者最终也用到此调用)编写,随便一个ApiHook就可轻轻松松干掉它们,更不用说一些内核级后门了;极少数工具利用内核线程调度结构来查询进程,这种方案需要硬编码,不仅不同版本系统不同,打个补丁也可能需要升级程序,并且现在有人也提出过防止此种查找的方法。而IceSword的进程查找核心态方案是目前独一无二,并且充分考虑内核后门可能的隐藏手段,目前可以查出所有隐藏进程。2、绝大多数工具查找进程路径名也是通过Toolhlp32、psapi,前者会调用RtlDebug***函数向目标注入远线程,后者会用调试api读取目标进程内,本质上都是对PEB的枚举,前面我的blog提到过轻易修改PEB就让这些工具找不到北了。而IceSword的核心态方案原原本本地将全路径展示,就算运行时剪切到其他路径也会随之显示。3、进程dll模块与2的情况也是一样,利用PEB的其他工具会被轻易欺骗,而IceSword不会弄错。4、IceSword的进程杀除强大且方便(当然也会有危险)。可轻易将选中的多个任意进程一并杀除。当然,说任意不确切,除去三个:idle进程、System进程、csrss进程,原因就不详述了。其余进程可轻易杀死,当然有些进程(如winlogon)杀掉后系统就崩溃了。5、对于端口工具,网上的确有很多,不过网上隐藏端口的方法也很多,那些方法对IceSword可是完全行不通的。其实本想带个防火墙动态查找,不过不想弄得太臃肿。问:windows自带的服务工具强大且方便,IceSowrd有什么更好的特点呢?答:因为比较懒,界面使用上的确没它来的好,不过IceSword的服务功能主要是查看木马服务的,使用还是很方便的。举个例子,顺便谈一类木马的查找:有一种利用svchost的木马,怎么利用的呢?svchost是一些共享进程服务的宿主,有些木马就以dll存在,依*svchost运作,如何找出它们呢?首先看进程一栏,发现svchost过多,特别注意一下pid较大的,记住它们的pid,到服务一栏,就可找到pid对应的服务项,配合注册表查看它的dll文件路径(由服务项的第一栏所列名称到注册表的services子键下找对应名称的子键),根据它是不是惯常的服务项,很容易发现异常。剩下的工作就是停止任务或结束进程、删除文件、恢复注册表之类的了,当然过程中需要你对服务有一般的知识。问:那么什么样的木马后门才会隐藏进程注册表文件的?用IceSword又如何查找呢?答:比如近来很流行且开源(容易出变种)的hxdef就是这么一个后门。虽然它带有一个驱动,不过还只能算一个系统级后门,还称不上内核级。不过就这样的一个后门,你用一些工具,***专家、***大师、***克星看看,能不能看到它的进程、注册项、服务以及目录文件,呵呵。用IceSword就很方便了,你直接就可在进程栏看到红色显示的hxdef100进程,同时也可以在服务栏中看到红色显示的服务项,顺便一说,在注册表和文件栏里你都可发现它们,若木马正在反向连接,你在端口栏也可看到,另外,内核模块中也可以看到它的驱动。杀除它么,首先由进程栏得后门程序全路径,结束进程,将后门目录删除,删除注册表中的服务对应项这里只是选一个简单例子,请你自行学习如何有效利用IceSword吧。问:“内核模块”是什么?答:加载到系统内和空间的PE模块,主要是驱动程序*.sys,一般核心态后们作为核心驱动存在,比如说某种rootkit加载_root_.sys,前面提到的hxdef也加载了hxdefdrv.sys,你可以在此栏中看到。问:“SPI”与“BHO”又是什么?答:SPI栏列举出系统中的网络服务提供者,因为它有可能被用来做无进程木马,注意“DLL路径”,正常系统只有两个不同DLL(当然协议比较多)。BHO是IE的插件,全名BrowserHelpObjects,木马以这种形式存在的话,用户打开网页即会激活木马。问:“SSDT”有何用?答:内核级后门有可能修改这个服务表,以截获你系统的服务函数调用,特别是一些老的rootkit,像上面提到的ntrootkit通过这种hook实现注册表、文件的隐藏。被修改的值以红色显示,当然有些安全程序也会修改,比如regmon,所以不要见到红色就慌张。问:“消息钩子”与木马有什么关系?答:若在dll中使用SetWindowsHookEx设置一全局钩子,系统会将其加载入使用user32的进程中,因而它也可被利用为无进程木马的进程注入手段。问:最后两个监视项有什么用处?答:“监视进线程创建”将IceSword运行期间的进线程创建调用记录在循环缓冲里,“监视进程终止”记录一个进程被其它进程Terminate的情况。举例说明作用:一个木马或病毒进程运行起来时查看有没有杀毒程序如norton的进程,有则杀之,若IceSword正在运行,这个操作就被记录下来,你可以查到是哪个进程做的事,因而可以发现木马或病毒进程并结束之。再如:一个木马或病毒采用多线程保护技术,你发现一个异常进程后结束了,一会儿它又起来了,你可用IceSword发现是什么线程又创建了这个进程,把它们一并杀除。中途可能会用到“设置”菜单项:在设置对话框中选中“禁止进线程创建”,此时系统不能创建进程或者线程,你安稳的杀除可疑进线程后,再取消禁止就可以了。问:IceSword的注册表项有什么特点?相对来说,RegEdit有什么不足吗?答:说起Regedit的不足就太多了,比如它的名称长度限制,建一个名长300字节的子项看看(编程或用其他工具,比如regedt32),此项和位于它后面的子键在regedit中显示不出来;再如有意用程序建立的有特殊字符的子键regedit根本打不开。当然IceSword中添加注册表编辑并不是为了解决上面的问题,因为已经有了很多很好的工具可以代替Regedit。IceSword中的“注册表”项是为了查找被木马后门隐藏的注册项而写的,它不受目前任何注册表隐藏手法的蒙蔽,真正可*的让你看到注册表实际内容。问:那么文件项又有什么特点呢?答:同样,具备反隐藏、反保护的功能。当然就有一些副作用,文件保护工具(移走文件和文件加密类除外)在它面前就无效,如果你的机器与人共用,那么不希望别人看到的文件就采用加密处理吧,以前的文件保护(防读或隐藏)是没有用的。还有对安全的副作用是本来system32\config\SAM等文件是不能拷贝也不能打开的,但IceSword是可以直接拷贝的。不过只有管理员能运行IceSword。最后说一个小技巧:用复制来改写文件。对一个被非共享打开的文件、或一个正运行的程序文件(比如木马),你想改掉它的内容(比如想向木马程序文件写入垃圾数据使它重启后无法运行),那么请选中一个文件(内含你想修改的内容),选“复制”菜单,将目标文件栏中添上你欲修改掉的文件(木马)路径名,确定后前者的内容就写入后者(木马)从头开始的位置。最后提醒一句:每次开机IceSword只第一次运行确认管理员权限,所以管理员运行程序后,如果要交付机器给低权限用户使用,应该先重启机器,否则可能为低权限用户利用。问:GDT/IDT的转储文件里有什么内容?答:GDT.log内保存有系统全局描述符表的内容,IDT.log则包含中断描述符表的内容。如果有后门程序修改它,建立了调用门或中断门,很容易被发现。问:转储列表是什么意思?答:即将显示在当前列表视中的部分内容存入指定文件,比如转储系统内所有进程,放入网上请人帮忙诊断。不过意义不大,IceSword编写前已假定使用者有一定安全知识,可能不需要这类功能。
内核级木马怎么查杀
一般的杀毒工具可以把病毒查杀掉,但是对于内核级木马病毒,能够穿透还原技术,一般的技术人员是无法解决的。作为网吧热点,针对这样难以对付的病毒,小编分享到清除内核级木马病毒的方法。1.首先是要安装一个具备进程管理功能的安全工具软件,查看系统进程,可有经验的技术人员对可疑进程是可以识别的,点击其中的IE浏览器进程,发现其中包括了一个可疑的木马模块hack.dll。2.下一步可以看到多个被明显标识出的系统服务,说明这些服务都不是系统自身的服务。比如像是一个和名为Hack的服务较为可疑,因为它的名称和木马模块的名称相同。3.找出工具软件中与文件管理相关的标签,在模拟的资源管理器窗口中,按照可疑模块的路径指引,很快发现了那个可疑的木马模块文件hack.dll,。4.找到了病毒存在的根源,接下来就是病毒的查杀了:a,在进程管理选项中首先找到被明显标识的IE浏览器进程,选中它后通过鼠标右键中的“结束这个进程”命令清除它;b,接着点击服务管理选项,选择名为Hack的服务后,点击右键菜单中的“删除选中的服务”命令来删除;c,再选择程序中的文件管理选项,对木马文件进行最后的清除操作;d,在系统的system32目录找到hack.dll和hack.exe文件后,点击右键菜单中的“直接删除文件”命令,完成对木马的最后一击;e,然后重新启动系统再进行查看,确认木马是否被清除干净。按照小编分享的方法,对于这些穿透还原的内核级病毒,可以做到有效的查杀,以防传染到的机器,种植在电脑,希望对你们有帮助。