Hxdef073后门清理实验过程

　　前段时间在灰色轨迹论坛里看到有人发贴询问关于hxdef073这个后门的清理问题，当时因为我也没有接触过这类与内核挂钩的后门程序，就想当然的贴出了寻找的方法，当然事实上也证明了我的方法是错误的。也就是说当运行了hxdef073.exe后，与hxdef073字样一致的所有文件都会被隐藏，甚至包括hxdef073.rar之类的文件也会被隐藏。所以，在本地路径内是无法找到该文件的，包括在本地映射自己的驱动器，以访问网络驱动器的方法来访问本地驱动器这个方法也不能够让它“显形”。 <============在发表该文章之前测试了一下这个方法，显然这又是一个想当然的想法，这也给了我一个教训，凡事还是以动手为主，不要依靠以往的经验来判断事情，因为有时候以往的经验也会出错的。
　　
　　那么就没有方法能够查杀该后门程序了么？非也，我前面曾经发表过一篇帖子，讲的是用网络驱动器的方式来寻找被隐藏的hxdef073后门的方法，现在再把这篇文章的内容来归纳一下：首先在本地运行了hxdef073程序后，hxdef073就把所有与“hxdef073”字眼一致的程序隐藏了，然后我装上了Mcafee7.0企业版来进行测试，结果就和预想当中的一样，由于Syscall表的作用，Mcafee7.0根本就检测不出来，当然，在检测之前我把Mcafee升级到了最新版本。然后就从本地去映射该文件所在的驱动器，就和前面文章所说的一样，在网络驱动器下，hxdef073和与“hxdef073”字眼一致的文件都历历在目。
　　
　　我的想法是：这应该是和RPC过程有密切的关系。从目前的后门以及远程控制程序来讲，不管是C/S模型也好，还是获得一个Shell也罢，要使用到RPC远端调用模式来调用远端的服务端，所以在调用的时候，势必之与需要建立这样的一个RPC的通道（我暂时用通道的字眼来描述RPC）来进行传输调用过程，在进行连接时候，肯定服务端是要进行工作的，来提供连接服务。所以，这个时候的防病毒程序就能够侦测的出一直处于静默模式下的服务端程序的工作过程，当然，并不是所有的防病毒程序都能够办到这一点，例如瑞星的查杀能力我就不敢恭维，我现在所讲的只是在Mcafee7.0的测试下的结果。