前十位写出完整的手工查杀 DarkstRat2008 过程的朋友可以获得10AB 技术先进、与众不同者可获得1威望
要求必须配图，排版整齐有条理。
在查杀的过程中，如能够写出每一步操作的具体原因是什么，为什么要使用这个方法，目的和意义要写清楚。也可获得1威望的奖励。

相关连接：
DarkstRst2008
http://forum.darkst.com/thread-22361-1-1.html

[localimg=400,164]7[/localimg]首先，我们需要判断我们是否中毒了。
事先我们知道，老大的几个版本都是在系统目录下生成一个名为System64.dll的文件（有没有其他文件不知道）
搜索C:\Windosw\system32\ 下是否存在一个名为System64.dll文件（注意，这里的C盘是系统盘符，你可以换成你自己的）  

如图一



这时候我们还有记录下这个DLL的生成时间，以用来判断中毒的同时是否还生成了其他文件。

如图二



现在我们发现病毒文件有两个.......
然而CTRL+ALT+DEL（任务管理器）检查一下系统的进程，没有发现可疑的，就可以初步断定system64.dll是插入其他系统进程的

接下来我们检测这个system64.dll插入的是那个进程，这里用到一个DOS命令"tasklist"
其整个命令语句是"tasklist /m system64.dll"（查看system64.dll插入的进程）
反馈回来的结果：被插入进程为：svchost.exe

如图三




在任务管理器下结束svchost.exe 是不容易实现的，以为很难判断出哪个svchost.exe进程是被插入的。但是我们有新的办法，就是PID判断。
在图三中，我们知道被插入的进程svchost.exe的PID是468....这下我们好解决了。
这次是用DOS命令"taskkill"（这个大家应该都熟悉，手工杀掉AUTORUN的时候经常用到）
其整个命令语句"taskkill /pid 468 /f"(强行结束掉被插入system64.dll的svchost.exe进程)

如图四、图五





最后一步有点麻烦.....就是删除服务，由于服务名称是可以自定义的，那么每个人都可以设置不同的服务名，这给我们在不依赖第三方软件下删除带来了很大的困难，我这里就动用到一个工具了Wsyscheck，当然冰刃也可以，只是我用惯了这个而已。
打开Wsyscheck，切换到服务（操作看图）
首先看时间，看跟图一里面搜索到的System64.dlL的生成时间相同的服务
然后不难发现，有一个服务是动用到C:\Windosw\system32\System64.dll 的，好了，就是它了

如图六、图七




我们用Wsyscheck删除这个服务，在这里有两个方法，两个方法有不同的妙用
看图：


如图八



当然方法不止一个，你完全可以用Wsyscheck对付完DarkstRat2008，但是本着有福共享有难同当的意识，我就发一贴得了，赚点RMB顺便看看有没有机会得威望.....

一看见可能有威望拿我立马饥渴了，不好别怪我哈！

楼上的是在知道很多具体情况下的手工清除，而我的是在假设自己不知情的情况下的清除方法。








[ 本帖最后由 a8352081 于 2008-8-13 17:30 编辑 ]

既然有威望....
那偶也来一下.生成.



打开偶们伟大的Wsyscheck.....

随便推荐一下喔.真的很强大哇....比冰刃简单实用多啦....查杀就看它了...

远控嘛...先查看的当然是端口啦....哇哇...发现了.....

为什么说SVCHOST的TCP连接就是中马呢....丫丫....

我也不知道如何说明...看看二楼的忽悠吧....我也忽悠一下....

既然发现了端口连接....那就要记录一下是那个进程发出的连接了.

SVCHOST有很多进程...不方便...但可以选择记录PID来进行确认....

当然.养成这样的习惯更好啦....

插个话.再次介绍一下Wsyscheck的厉害....

看到图了没....校验微软文件签名....

为什么突然说这个呢...

因为很多木马都很会伪装自己成系统的文件...

微软的签名....让我们不去怀疑....

但是...有了这个功能.我们就可以偷懒...直接...嘿嘿.....(当然.不论你是新建服务还是替换系统服务都能查出.)

好啦继续..使用这个功能先.

我们先确定哪个才是我们要查看的进程先....

记得刚刚记录的PID没有?  724

找到了.....

呀...发现模块路径里面有两个是非微软签名的DLL.....

呀咧呀咧.....两个都很可疑...?

两个都是写着微软签名...但都不是真正的微软签名....

判断方法很多.例如百度DLL名称啦.查看DLL的资源等啦...

(随便说明一下.名字不能代表什么.当然DR释放的DLL名字也是可以通过反汇编进行修改.)
(这里只是用了原版的.不能说别的DLL名称就不是后门木马.一定需要system64才是DR的马儿.)

到了这里..我们先停一下.

为什么呢.因为如果DLL的名称都为系统的名称.教大家怎么去判断哪个才是伪造的系统文件...

只要查出伪造的系统文件.木马也随之可以出来了.(不是木马为什么要伪造系统文件哇.)


来到服务项查看一下....

啊..啊...啊..啊..啊....发现了...

粉红色的服务...而且装入的文件DLL正是我们发现的两个伪装签名之一....(看,怎么没有发现第一个呢.嘎嘎.自己想)

巧合? 不巧了吧....

来...我们先删除服务与文件.

这样就能防止它再次启动.

当然.现在删除文件是没有效果滴.因为它还在进程中加载....


来..我们再卸载并删除它...

OK...清除完毕.

打开我们的DR看看...
已经不上线了.....

目前为止只有3个完成作业的。其实大家都是建立在了解这款远控的基础之上的。
如果从一个不了解这款远控的人来看，这些思路都是有问题的。
首先是如何发现自己中了木马。然后判断哪个是木马文件。然后再清除。
这些都是要详细说明的。但，总的来说还是很好的，继续加油哦！~
希望看到有些独特的方法出现，让我们的威望大奖名至实归。

居然说我的方法不够另类.......

那我就再写一个......不加分也没关系的。

    首先还是要判断我们是否中毒了。
    我们要了解一点的病毒知识，目前除了超级破坏性病毒（如CIH、格盘、制造坏道....破坏肉鸡以达到反侦察的目的）、恶作剧病毒（这个不用我详说了吧）是不需要网络外，其他大部分病毒是跟网络有链接的。
    原因很简单，因为那些病毒要将中毒的机子上的某部分信息传递给病毒制造者，这时候病毒就要通过网络来完成这项工作了。当然你可以狡辩说：“一定要网络么？也可以通过U盘等也移动设备传给病毒制造者啊。”但据我所知，除了间谍外，目前还没有哪个病毒制造者会这么做的。
    由于病毒需要联网，这就给我们留下了追踪它的痕迹，也就有了一系列的软硬件监控工具的产生。这里我不废话这么多了....切入主题

   
    想要抓出一个联网的病毒，最有效的方法是直接对通过网卡的数据进行抓包检测，数据包的包头有对方绝对地址，这个方法也是现在所谓的网络安全公司帮客户抓黑手常用的方法，也是检测一些远控及下载者有没有后门的方法。虽然这方法绝对够另类，而且写得好的话绝对能得到威望（展现技术的时候啊）但我在这里不想写。原因有两个，一是随身的U盘我忘了带而且抓包工作量大，二是所要叙述的太繁杂而且不适合新手，所以我们采用更高级或者说更傻瓜一点的方式来检测网络数据包。
   
    手工杀毒、手工杀毒……当然是用到第三方工具越少越好。本着这样的思路，我们开始检测网络数据。
    首先，尽量关闭能关闭的网络程序，以免给等下的检测带来不必要的干扰。
    “开始——运行——输入"CMD"——确定”或者“开始——所有程序——附件——命令提示符”来打开命令提示符。
     输入命令“netstat -v -b”，其作用是显示包含于所有可执行组件创建链接或监听端口的组件（在这里注意一下，如果没有足够权限的话这个命令可能无法执行）
     我们可以得到以下连接网络的所有可执行组件及其组件。
     等了一会儿，列出了一大堆东西出来。我们开始独个判断。
     （三楼的单纯使用“netstat -b”命令我认为不够稳妥，如果病毒是像ByShell那样插入的是IE进程的话你这个命令是显示不出来的。）
     由于列出的太长我就不截图了，我打一部分出来给大家。
     


  Proto  Local Address          Foreign Address        State           PID

  TCP    MICROSOF-9D99F7:1345   MICROSOF-9D99F7:2007   ESTABLISHED     3664
  C:\windows\system32\mswsock.dll
  c:\windows\system32\WS2_32.dll
  c:\windows\system32\system64.dll
  C:\windows\system32\USER32.dll
  c:\windows\system32\system64.dll
  C:\windows\system32\svchost.exe
  C:\windows\system32\ADVAPI32.dll
  [svchost.exe]

  TCP    MICROSOF-9D99F7:1440   MICROSOF-9D99F7:1985   ESTABLISHED     1248
  c:\windows\system32\MSWSOCK.dll
  c:\windows\system32\WS2_32.dll
  -- 未知组件 --
  C:\windows\system32\kernel32.dll
  [svchost.exe]

  TCP    MICROSOF-9D99F7:2007   MICROSOF-9D99F7:1345   ESTABLISHED     3020
  C:\windows\system32\WS2_32.dll
  C:\Documents and Settings\Administrator\DarkstRat V1.6\DarkstRat.exe
  C:\windows\system32\user32.dll
  C:\Documents and Settings\Administrator\DarkstRat V1.6\DarkstRat.exe
  [DarkstRat.exe]



  
    有一定的网络知识的朋友就可以排除掉一部分，剩下着三个是我经过排除后留下的可疑连接网络的进程。（一般情况下你们输入这个命令只会得到一个[svchost.exe]出来，我在这里解释一下我为什么会有两个不同的，原因就是....我在中了DarkstRat的时候，我还中了另一个病毒，那就是ZXShell，这个是我自己中给自己的....因为中了这个之后即使你在使用IE你用“netstat -v -b”命令一样无法检测出IE，我就省了几行要复制粘贴的字，至于有的朋友说CMD里面你怎么复制......这很简单，你自己给自己中个DarkstRat马儿，在里面的超级终端就可以复制粘贴了）

    经过再一步排除DarkstRat.exe，这是我现在正在运行的远控。
    那么就剩下这个svchost.exe是最可疑的了。现在我们就重点关注svchost.exe（PID为3664）以及它的组件。
   

    说实话，在病毒处于完全免杀期的时候，我们是判断不出哪个文件是病毒的，所以说不用想什么杀软检测啊、世界毒网检测啊，根本得不出什么结果给你，有时候只有自己一个一个地试，才有可能从中揪出病毒。
    但针对目前的情况，我们还是可以找出病毒文件的。
    如果不是十分熟悉系统文件，我们可以借助百度或者google来搜索相关资料，这点十分重要....一个不具备网络搜索能力的人根本就不用想能做什么技术类的活，比如当黑客啊，程序员啊等等....甚至连一个高级网络游戏玩家都不行。

    首先判断C:\windows\system32\mswsock.dll————Winsock网络服务相关文件，属于系统DLL文件，验证MD5，正常，排除。
    再下来  C:\windows\system32\WS2_32.dll————Windows Sockets应用程序接口，用于支持Internet和网络应用程序，属于系统DLL文件，验证MD5，正常，排除。
    再下来 c:\windows\system32\system64.dll————未知文件（我不信DarkstRat没有开始被大量使用的时候搜索引擎会有介绍说明这个是木马）
    再下来  C:\windows\system32\USER32.dll————Windows用户界面相关应用程序接口，用于包括Windows处理，基本用户界面等特性，属于系统DLL文件，验证MD5，正常，排除。
    再下来  C:\windows\system32\ADVAPI32.dll————一个高级API应用程序接口服务库的一部分，用于支持非常多的API应用程序接口，包括安全和注册的调用，属于系统DLL文件，验证MD5，正常，排除。
    所有DLL文件都判断完毕，得出结果——system64.dll     最是可疑，重点锁定。

    接下来是什么？脱壳解密拿源程序？这不是我们做的，也不一定拥有这个技术。我们要做的是举报，将这个可疑文件上报给世界毒网或者杀软，让他们专业的技术团队去分析，让杀软得到及时的更新，以免出现更多的受害者。
    当然杀软不可能更新得这么快的，所以我们还得自己动手来测试这个文件的危险性。
    病毒通常都有那么几个特征，其中一个就是防删除，隐藏也是其中之一。我们来试试，打开系统目录，确保你的系统处于显示隐藏文件的状态（如果不是的话自己改，方法百度上找），看一下有没有system64.dll这个文件…………居然找到了！
    咦？居然不是隐藏文件，难道不是病毒？（老大的社会工程学还真不错）
    我删除看看.....不能删除.....我结束svchost.exe在删一次.....不见了？难道真不是病毒？（为了防止误删，建议各位以后在删除可疑文件的时候不要完全删除，放到垃圾桶里就行，不然的话你就先备份一个放到其他地方）
    重启刷新一下，哈哈，又出现了......而且在计算机重启过程中系统没有出现错误，就证明这个文件问题大了......


    接下来手动删除的方法大家看前面一楼我写的那些就成.......

总结楼上。使用 Wsyscheck 进行系统签名验证即可。
( 偶很懒... 只喜欢用简单又实用滴方法 )

说一下偶判断中马滴方法吧.  还是使用Wsyscheck进行服务签名验证...


再次感谢Wsyscheck的作者....(这个帖子你说那么多废话干嘛.无语....)

1.  TASKLIST /M system64.dll                                         ——      列出DarkstRat的PID值


2.  TASKLIST /SVC                                                          ——      列出对应PID值的服务名称


3.  TASKKILL /F /PID 688                                                ——      结束图1对应的进程


4.  SC DELETE TEST                                                      ——      删除图2对应的服务


5.  DEL C:\WINDOWS\system32\System64.dll                 ——      删除残留的文件


6.  如果是替换的BITS服务那么需要恢复原始的注册表信息，导入即可。

都好厉害啊 连偶看不懂都

这个帖子是务必要支持的
A姐最懒- -

真的是  各路 门派的 功夫都有呀！！借鉴借鉴...

很不错的东西,让我这个菜菜大开眼界了

传说中的。。手工杀毒嘛？？

很牛X哈

这贴好，学了不少手杀技术，，真的很实用。

为什么我的机器开机桌面显示奇慢？？？。但查不出有木马病毒什么的

嗯
思路都不错
我全部都细看了········

此贴还有效吗?  .................

支持！这篇文章很精彩啊！
希望一直延续下去、、、