[求助]如何查出在不断连接外网的dll木马?-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (7)
垃圾一个雪币： 91 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 70 粉丝 0 关注私信	垃圾一个 2 楼 system里面是驱动。 2009-11-3 01:19 0
mytzzh 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	mytzzh 3 楼谢谢楼上的回复。我的电脑在那个木马（很多dll/ini文件与一个sys文件组成）没有删掉时，用冰忍可以查到，每隔一分钟左右system进程会连一个IP地址，木马删掉后，就不会了。我极度怀疑是那木马的sys文件（貌似驱动就是这种类型文件是吧）在system进程里。那么要怎么样确认呢？有没有办法查出来？ 2009-11-3 12:31 0
mytzzh 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	mytzzh 4 楼自动连的那个IP是我的笔记本电脑在另一个局域网用时使用的服务器IP。这个IP除了在那个局域网里用外跟任何东西都没有一点关系，所以很有可能是木马服务端。它是开一个135与一个445的TCP连接进行尝试的。 2009-11-3 12:35 0
loqich 雪币： 952 活跃值： (1821) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 642 粉丝 0 关注私信	loqich 5 楼 ``````135和445是局域网共享的端口 2009-11-3 13:55 0
mytzzh 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	mytzzh 6 楼 135,445可能好多进程都会用到。比如以前有专门针对445的木马。问题是我的电脑在192.168.0.X段里工作时，仍会自动连192.168.8.X这个地址（这个地址是我这台电脑在另一个局域网里工作时用的网络中一个服务器。所以我很怀疑那个木马跟这个服务器有没有联系！把那一堆dll/ini/sys木马文件删除掉后，就再没有这个情况了。恢复系统（杀毒前我ghost存起来了），又会自动连^ 2009-11-3 15:02 0
垃圾一个雪币： 91 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 70 粉丝 0 关注私信	垃圾一个 7 楼盗版的东西，本身就有可能有木马。如果木马是纯驱动，找个atirootkit软件看看系统加载那些驱动，去掉有签名的，剩下的有可疑，当然有可能隐藏模块。其实你这又没啥，又不是内核下载者，而且在冰刃就看到了，没有啥。现在的rootkit最低要过冰刃。。。。。。。。。。。。也就我这样的潜水者回答你了。 2009-11-3 19:22 0
snowbirdcn 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 21 粉丝 0 关注私信	snowbirdcn 8 楼有个sysinternal的软件可以看到所有的sys，或者你从设备管理器里选“显示隐蔽的设备”看看有没有驱动加载 2009-11-4 18:51 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (7)
垃圾一个雪币： 91 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 70 粉丝 0 关注私信	垃圾一个 2 楼 system里面是驱动。 2009-11-3 01:19 0
mytzzh 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	mytzzh 3 楼谢谢楼上的回复。我的电脑在那个木马（很多dll/ini文件与一个sys文件组成）没有删掉时，用冰忍可以查到，每隔一分钟左右system进程会连一个IP地址，木马删掉后，就不会了。我极度怀疑是那木马的sys文件（貌似驱动就是这种类型文件是吧）在system进程里。那么要怎么样确认呢？有没有办法查出来？ 2009-11-3 12:31 0
mytzzh 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	mytzzh 4 楼自动连的那个IP是我的笔记本电脑在另一个局域网用时使用的服务器IP。这个IP除了在那个局域网里用外跟任何东西都没有一点关系，所以很有可能是木马服务端。它是开一个135与一个445的TCP连接进行尝试的。 2009-11-3 12:35 0
loqich 雪币： 952 活跃值： (1821) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 642 粉丝 0 关注私信	loqich 5 楼 ``````135和445是局域网共享的端口 2009-11-3 13:55 0
mytzzh 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	mytzzh 6 楼 135,445可能好多进程都会用到。比如以前有专门针对445的木马。问题是我的电脑在192.168.0.X段里工作时，仍会自动连192.168.8.X这个地址（这个地址是我这台电脑在另一个局域网里工作时用的网络中一个服务器。所以我很怀疑那个木马跟这个服务器有没有联系！把那一堆dll/ini/sys木马文件删除掉后，就再没有这个情况了。恢复系统（杀毒前我ghost存起来了），又会自动连^ 2009-11-3 15:02 0
垃圾一个雪币： 91 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 70 粉丝 0 关注私信	垃圾一个 7 楼盗版的东西，本身就有可能有木马。如果木马是纯驱动，找个atirootkit软件看看系统加载那些驱动，去掉有签名的，剩下的有可疑，当然有可能隐藏模块。其实你这又没啥，又不是内核下载者，而且在冰刃就看到了，没有啥。现在的rootkit最低要过冰刃。。。。。。。。。。。。也就我这样的潜水者回答你了。 2009-11-3 19:22 0
snowbirdcn 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 21 粉丝 0 关注私信	snowbirdcn 8 楼有个sysinternal的软件可以看到所有的sys，或者你从设备管理器里选“显示隐蔽的设备”看看有没有驱动加载 2009-11-4 18:51 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复