資源描述:
《輕易清除“dll后門木馬”》由會(huì)員上傳分享�����,免費(fèi)在線閱讀����,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫(kù)�����。
1�、indoc.in[組圖]輕易清除“dll后門木馬” 一直以來(lái),我們都認(rèn)為木馬是以exe結(jié)尾的可執(zhí)行文件��,只要不運(yùn)行exe為后綴的文件就可以了���。但如果木馬都這么容易辨別���,那就不能稱為木馬了�����。事實(shí)上有很多木馬都不是以exe為后綴的����,例如著名的后門木馬工具bits����,就是一款dll后門,整個(gè)后門程序只有一個(gè)dll文件���,但卻可以實(shí)現(xiàn)非??植赖男Ч?。那么dll后門木馬是如何運(yùn)作的?我們又該如何清除dll后門木馬呢?請(qǐng)看本文?! 飀ll后門木馬的來(lái)歷 dll(DynamicLinkLibrary)即系統(tǒng)的動(dòng)態(tài)
2、鏈接庫(kù)文件��。dll文件本身并不可以運(yùn)行��,需要應(yīng)用程序調(diào)用�����。當(dāng)程序運(yùn)行時(shí),Windows將dll文件裝入內(nèi)存中����,并尋找文件中出現(xiàn)的動(dòng)態(tài)鏈接庫(kù)文件。dll后門木馬實(shí)際就是把一段實(shí)現(xiàn)了木馬功能的代碼加上一些特殊代碼寫成dll文件����。我們都知道正在運(yùn)行的程序是不能關(guān)閉的��,而dll后門木馬會(huì)插入到這個(gè)應(yīng)用程序的內(nèi)存模塊中����,因此同樣同樣無(wú)法刪除,這就是dll后門木馬的高明之處�����?�! ll后門木馬通常只有一個(gè)文件��,依靠動(dòng)態(tài)鏈接程序庫(kù)���,由某一個(gè)EXE作為載體��,或者使用Rundll32.exe來(lái)啟動(dòng)����,插入到系統(tǒng)進(jìn)程中,達(dá)
3���、到隱藏自身的目的����。因此dll后門木馬在隱藏技術(shù)上比普通木馬有了質(zhì)的飛躍�����,當(dāng)然危害性也就大大增加了��?��! ll后門木馬的運(yùn)作方式 dll后門木馬的危害主要分為兩方面:1.隱蔽性����,由于其可以“寄宿”文章內(nèi)容版權(quán)歸原作者所有VICHU.NETindoc.in于任一應(yīng)用程序的進(jìn)程����,包括系統(tǒng)進(jìn)程��,因此我們很難發(fā)現(xiàn)其存在�。2.難刪除:上文中我們提到被dll后門木馬插入的進(jìn)程是無(wú)法結(jié)束的�����,因此要想清除并不容易�����?! ∥覀儊?lái)結(jié)合實(shí)際看看dll后門木馬的使用和運(yùn)作過(guò)程����。bits是一款著名的dll后門木馬,其具備了dll
4���、后門木馬的所有特點(diǎn)��,沒(méi)有進(jìn)程����,也不開(kāi)啟端口,認(rèn)為:隱蔽性很強(qiáng)����,是dll后門木馬的代表?��! its的安裝 bits只有一個(gè)dll文件——bits.dll�����。點(diǎn)擊“開(kāi)始”→“運(yùn)行”�,輸入“rundll32.exebits.dll,install<123456>”即可成功讓bits進(jìn)駐系統(tǒng)����。 ▲安裝bits bits的使用 假設(shè)運(yùn)行bits的計(jì)算機(jī)IP地址為192.168.0.1�����,黑客可以使用一款網(wǎng)絡(luò)工具nc,在“命令提示符”中運(yùn)行nc后輸入命令“nc192.168.0.180”文章內(nèi)容版權(quán)歸原
5���、作者所有VICHU.NETindoc.in��?�;剀嚭髸?huì)發(fā)現(xiàn)沒(méi)有回顯�����,此時(shí)我們需要輸入”才能命令bits���。這條命令的作用是綁定一個(gè)shell到本機(jī)的777端口����,此時(shí)黑客再連接目標(biāo)主機(jī)的777端口就可以在目標(biāo)計(jì)算機(jī)上執(zhí)行任意命令了�。一般的dll后門木馬都需要類似的安裝和使用,認(rèn)為:雖然比普通木馬要來(lái)得麻煩�,但是威力是相當(dāng)大的?�! B接bits開(kāi)啟后門 清除木馬 bits的清除還是比較簡(jiǎn)單的����,首先運(yùn)行注冊(cè)表編輯器�����,定位到HKEY_LOCAL_MACHINESYSTEMCurrentControlSe
6、tServicesRasAutoParameters����,將ServiceDll的鍵值更改為“%SystemRoot%System32rasauto.dll”即可,然后將系統(tǒng)目錄system32文件夾下的bits.dll刪除即可�����?����! ∥恼聝?nèi)容版權(quán)歸原作者所有VICHU.NETindoc.in ▲清除bits dll后門木馬的防范 1���、當(dāng)系統(tǒng)存在問(wèn)題時(shí)����,我們可以查看進(jìn)程中的dll文件�,找出隱藏在其中的dll后門木馬。查看進(jìn)程中的dll文件可以使用Windows優(yōu)化大師的進(jìn)程管理功能����,點(diǎn)擊進(jìn)程后,在下
7��、方會(huì)出現(xiàn)該進(jìn)程中包含的dll文件,如果是系統(tǒng)進(jìn)程�,那么其dll文件的發(fā)行商都應(yīng)該是“Microsoft”,否則就很有可能是dll后門木馬���。找到dll后門木馬后將進(jìn)程結(jié)束�����,再根據(jù)路徑將dll后門木馬刪除即可����?! ?、及時(shí)更新殺毒軟件��。dll后門木馬雖然和普通木馬不同�,但仍舊是木馬,還是可以被殺毒軟件查殺的�����,只要我們及時(shí)升級(jí)殺毒軟件病毒庫(kù)����,對(duì)防范dll后門木馬還是有很大幫助的。文章內(nèi)容版權(quán)歸原作者所有VICHU.NET
