瑞星卡卡安全论坛

本人用使用Procexp已经有很长时间了，自认为对其的使用比较精通，今天看了Mark的BLOG的“神秘的驱动”（http://www.sysinternals.com/blog/2006/03/case-of-mysterious-driver.html）一文，感觉到自己使用Procexp还是不到位。Procexp还有查看当前操作系统加载了那些驱动的功能，此功能对Rookit级木马的检测方面很有帮助。

工具描述：http://www.sysinternals.com/Utilities/ProcessExplorer.html
下载地址：http://www.sysinternals.com/Files/ProcessExplorerNt.zip
社区论坛：http://www.sysinternals.com/Forum/forum_topics.asp?FID=2

说明：转载请注明出处和作者－BlackStone（最近在网上看到很多网站转贴了我的文章，没有注明出处和作者，更有甚者把图片修改后署上自己的名字）。

现在部分木马采用了Rookit的技术，我在“RootKit木马的亲密接触”（http://forum.ikaka.com/topic.asp?board=28&artid=7538008）已有所描述，也就说木马采用驱动技术，对付这样的木马发现其驱动程序是关键。对于一般系统驱动启动项，我们可以用Autoruns查看，但它只能查看一些静态加载的驱动，它的实现原理是通过注册表驱动项的键值来检测启动项，对于动态加载的驱动它是看不到的。

附件: 5887812006328160957.JPG

另一个重量级工具IceSword有一个查看SSDT（系统服务描述表）的功能，即可以查看那些驱动程序是否替换了系统服务表中的系统内核调用，但对于那些不替换的驱动它是不会显示的。

附件: 5887812006328160452.JPG

下面介绍一下用Procexp查看系统加载的驱动的方法。
1）启动procexp
2）在菜单栏选择View->Show Lower Pane
3）在菜单中选择View->Lower Pane View->View DLL或在工具栏中选择“View DLL”，
4）用鼠标选择Systeim进程，则当前系统加载的驱动程序在下面的列表中被列举出，如图


附件: 5887812006328160600.JPG

查看动态加载的驱动，例如Procexp本身的驱动就是动态加载的，原理是首先EXE释放出PROCEXP100.SYS到%systemRoot%\system32\Drivers目录下，动态加载后删除此文件，PROCEXP100.SYS文件属性如图：

附件: 5887812006328160644.JPG

再举个例子，IceSword之所有可以查看一些Rookit木马进程，也是使用了驱动技术，其驱动文件如图：

附件: 5887812006328160716.JPG

总结：Procexp的查看系统当前加载的驱动程序功能，可以让我们找到那些通过动态加载的可疑驱动程序，发现Rookit级木马的行踪，以上只是本人的一些使用心得，不妥之处，欢迎指正。

关于Procexp其他功能的使用可参考：
http://forum.ikaka.com/topic.asp?board=28&artid=7318038

原来IceSword也使用了驱动技术，怪不得我在安全模式下不能运行它。
想请教在有异常驱动程序加载时，Procexp是否有显示，比如显示为红色能让新手们也能一眼就看出异常？

我的机器浏览网页问题不大,但是在看联通的梅兰在线剧场时,会自动打开一个帮助对话框,接着就是出现瑞星的网页监控病毒＂Exploit.VBS.Phel.l＂对话框．然后在任务栏里出现一个"c:\boot.hta"的小项，关不掉！
我用procxp可以关掉,但一重复上面的操作c:\boot.hta又出现了.
是中木马了吗

新手上路,请大侠指点,先道谢了

谢谢了，虽然对楼主所说的不太懂，但我会认真研究一下的。

还有这个，也顶出去．．．．