Hxdef073后门清理实验过程

　　
　　言归正传，如何来检测出hxdef073这个程序呢？两种方法：一、使用杀毒软件，由于Syscall表的缘故，在这种内核级别的后门面前，谁最先占领一个最上位的位置，谁就能够立于不败之地，当然仅仅只是在一次重启之前。所以，在重启之前看不到的hxdef073与“hxdef073”字眼相关的文件在重启后就会暴露在我们眼前；二、映射网络驱动器，该方法是RPC的调用过程，所以在前面帖子里讲的方法是能够看的见hxdef073文件以及“hxdef073”相关字眼的文件。使用这两种方法，要把hxdef073程序删除的话，是不能马上删除的，因为已经在运行了，可以先把hxdef073.ini这个文件先删除掉，然后在重启过后，就可以把hxdef073程序删除了，因为少了hxdef073.ini这个配置文件，所以，hxdef073.exe就等于是死尸一条了，删除它是很简单的事情了。
　　
　　我用3389连接上我局域网内的一台实验计算机并运行了hxdef073.exe（没有配置过），当然hxdef073与“hxdef073”字眼相关的所有文件都立刻“消失”，然后，我在我本地使用Mcafee7.0进行网络连接杀毒的时候，文件是找出来了，但是并不显示是病毒程序，任何反应也没有，Mcafee企业版的网络杀毒模式还不能够查杀hxdef073后门。
　　
　　但是当我在网络驱动器里查看的时候，不但hxdef073文件以及“hxdef073”字眼相关文件都显示出来，而且Mcafee还发出了警报并查杀了除hxdef073.exe以外的所有文件，因为hxdef073.exe已经在运行了。
　　
　　以上讲的内容都是在实验测试的环境下做的，所以和外界正常的查杀情况还有很大的出入，比如说，文件改名、不知道hxdef073的路径等等。当然也有其他朋友找出的查杀方法，也能够有效的查杀该程序，但在这帖子里所讨论的只是我个人所考虑的查杀方法。
　　
　　我之所以要写出这样的帖子出来是因为想和大家讨论一下这种内核级的后门程序的运行以及调用原理，以便于能够发现并查杀这种后门，同时也希望能够在以后的内核级后门里有所改进。本贴所讲的东西以及道理实在是很简单和粗略，所以如果有所遗漏出错，还希望能够获得大家的指正。