文件对比查杀嵌入式木马技术(图)

对比后得到changedll.txt和changeexe.txt两个文件内容如下：

　　changedll.txt：

　　正在比较文件 dll.txt 和 DLL1.TXT

***** dll.txt

2005-03-31  02:52a　　　　　　  36,924 php5apache.dll
***** DLL1.TXT

2005-03-31  02:52a　　　　　　 417,792 fdftk.dll
2005-03-31  02:52a　　　　　　  90,112 fribidi.dll
2005-03-31  02:52a　　　　　　 346,624 gds32.dll
2005-03-31  02:52a　　　　　　  36,924 php5apache.dll
*****

***** dll.txt
2005-03-31  02:52a　　　　　　  53,314 php5apache_hooks.dll
　　　　　　   3 个文件　　　　127,163 字节
　　　　　　   0 个目录　　505,454,592 可用字节
***** DLL1.TXT
2005-03-31  02:52a　　　　　　  53,314 php5apache_hooks.dll
　　　　　　   6 个文件　　　　981,691 字节
　　　　　　   0 个目录　　475,787,264 可用字节
*****

　　其中我们只需看上面我加粗的部分，这部分内容为增加的文件。加粗部分上面一段dll.txt内容只显示一行信息2005-03-31  02:52a 36,924 php5apache.dll，其他文件内容信息省略了，这一行内容就代表了dll.txt中的内容，而加粗这部分DLL1.TXT中的2005-03-31 02:52a 36,924 php5apache.dll就代表了dll.txt中所有内容，剩下的就是我加粗了的文件了，即增加了的文件。

　　changeexe.txt：

　　正在比较文件 exe.txt 和 EXE1.TXT

***** exe.txt
2005-12-04  11:59a　　　　　　 473,600 g5setup解码.exe
　　　　　　   2 个文件　　 27,246,080 字节
　　　　　　   0 个目录　　505,454,592 可用字节
***** EXE1.TXT
2005-12-04  11:59a　　　　　　 473,600 g5setup解码.exe
2005-12-04  12:02p　　　　  13,058,048 mpsetup.exe
2004-10-30  09:11a　　　　  11,761,184 RealPlayer10-5GOLD_cn.EXE
2005-12-04  12:02p　　　　   3,963,392 Winamp278cn_DFX_Blue.EXE
　　　　　　   5 个文件　　 56,028,704 字节
　　　　　　   0 个目录　　475,787,264 可用字节
*****

　　以上增加了的内容为：

2005-12-04  12:02p　　　　  13,058,048 mpsetup.exe
2004-10-30  09:11a　　　　  11,761,184 RealPlayer10-5GOLD_cn.EXE
2005-12-04  12:02p　　　　   3,963,392 Winamp278cn_DFX_Blue.EXE

　　步骤四：判断以上增加的内容是否是自己，曾经安装在test文件夹中的exe或者dll文件，如果不是则删除即可。

　　结束语

　　总而言之要查杀这类嵌入式木马最有效的办法就是文件对比法，除了上面介绍的一些缩小查找范围的办法外，用户还可以自己再发挥想象把范围缩至最小，从而更加准确的查杀此类嵌入式木马，让嵌入式木马在我们面前无法遁形。