資源描述:
《輕易清除“dll后門木馬”》由會(huì)員上傳分享,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫(kù)。
1、indoc.in[組圖]輕易清除“dll后門木馬” 一直以來(lái),我們都認(rèn)為木馬是以exe結(jié)尾的可執(zhí)行文件,只要不運(yùn)行exe為后綴的文件就可以了。但如果木馬都這么容易辨別,那就不能稱為木馬了。事實(shí)上有很多木馬都不是以exe為后綴的,例如著名的后門木馬工具bits,就是一款dll后門,整個(gè)后門程序只有一個(gè)dll文件,但卻可以實(shí)現(xiàn)非??植赖男Ч?。那么dll后門木馬是如何運(yùn)作的?我們又該如何清除dll后門木馬呢?請(qǐng)看本文?! 飀ll后門木馬的來(lái)歷 dll(DynamicLinkLibrary)即系統(tǒng)的動(dòng)態(tài)
2、鏈接庫(kù)文件。dll文件本身并不可以運(yùn)行,需要應(yīng)用程序調(diào)用。當(dāng)程序運(yùn)行時(shí),Windows將dll文件裝入內(nèi)存中,并尋找文件中出現(xiàn)的動(dòng)態(tài)鏈接庫(kù)文件。dll后門木馬實(shí)際就是把一段實(shí)現(xiàn)了木馬功能的代碼加上一些特殊代碼寫成dll文件。我們都知道正在運(yùn)行的程序是不能關(guān)閉的,而dll后門木馬會(huì)插入到這個(gè)應(yīng)用程序的內(nèi)存模塊中,因此同樣同樣無(wú)法刪除,這就是dll后門木馬的高明之處?! ll后門木馬通常只有一個(gè)文件,依靠動(dòng)態(tài)鏈接程序庫(kù),由某一個(gè)EXE作為載體,或者使用Rundll32.exe來(lái)啟動(dòng),插入到系統(tǒng)進(jìn)程中,達(dá)
3、到隱藏自身的目的。因此dll后門木馬在隱藏技術(shù)上比普通木馬有了質(zhì)的飛躍,當(dāng)然危害性也就大大增加了?! ll后門木馬的運(yùn)作方式 dll后門木馬的危害主要分為兩方面:1.隱蔽性,由于其可以“寄宿”文章內(nèi)容版權(quán)歸原作者所有VICHU.NETindoc.in于任一應(yīng)用程序的進(jìn)程,包括系統(tǒng)進(jìn)程,因此我們很難發(fā)現(xiàn)其存在。2.難刪除:上文中我們提到被dll后門木馬插入的進(jìn)程是無(wú)法結(jié)束的,因此要想清除并不容易?! ∥覀儊?lái)結(jié)合實(shí)際看看dll后門木馬的使用和運(yùn)作過(guò)程。bits是一款著名的dll后門木馬,其具備了dll
4、后門木馬的所有特點(diǎn),沒(méi)有進(jìn)程,也不開(kāi)啟端口,認(rèn)為:隱蔽性很強(qiáng),是dll后門木馬的代表?! its的安裝 bits只有一個(gè)dll文件——bits.dll。點(diǎn)擊“開(kāi)始”→“運(yùn)行”,輸入“rundll32.exebits.dll,install<123456>”即可成功讓bits進(jìn)駐系統(tǒng)。 ▲安裝bits bits的使用 假設(shè)運(yùn)行bits的計(jì)算機(jī)IP地址為192.168.0.1,黑客可以使用一款網(wǎng)絡(luò)工具nc,在“命令提示符”中運(yùn)行nc后輸入命令“nc192.168.0.180”文章內(nèi)容版權(quán)歸原
5、作者所有VICHU.NETindoc.in?;剀嚭髸?huì)發(fā)現(xiàn)沒(méi)有回顯,此時(shí)我們需要輸入”才能命令bits。這條命令的作用是綁定一個(gè)shell到本機(jī)的777端口,此時(shí)黑客再連接目標(biāo)主機(jī)的777端口就可以在目標(biāo)計(jì)算機(jī)上執(zhí)行任意命令了。一般的dll后門木馬都需要類似的安裝和使用,認(rèn)為:雖然比普通木馬要來(lái)得麻煩,但是威力是相當(dāng)大的?! B接bits開(kāi)啟后門 清除木馬 bits的清除還是比較簡(jiǎn)單的,首先運(yùn)行注冊(cè)表編輯器,定位到HKEY_LOCAL_MACHINESYSTEMCurrentControlSe
6、tServicesRasAutoParameters,將ServiceDll的鍵值更改為“%SystemRoot%System32rasauto.dll”即可,然后將系統(tǒng)目錄system32文件夾下的bits.dll刪除即可?! ∥恼聝?nèi)容版權(quán)歸原作者所有VICHU.NETindoc.in ▲清除bits dll后門木馬的防范 1、當(dāng)系統(tǒng)存在問(wèn)題時(shí),我們可以查看進(jìn)程中的dll文件,找出隱藏在其中的dll后門木馬。查看進(jìn)程中的dll文件可以使用Windows優(yōu)化大師的進(jìn)程管理功能,點(diǎn)擊進(jìn)程后,在下
7、方會(huì)出現(xiàn)該進(jìn)程中包含的dll文件,如果是系統(tǒng)進(jìn)程,那么其dll文件的發(fā)行商都應(yīng)該是“Microsoft”,否則就很有可能是dll后門木馬。找到dll后門木馬后將進(jìn)程結(jié)束,再根據(jù)路徑將dll后門木馬刪除即可?! ?、及時(shí)更新殺毒軟件。dll后門木馬雖然和普通木馬不同,但仍舊是木馬,還是可以被殺毒軟件查殺的,只要我們及時(shí)升級(jí)殺毒軟件病毒庫(kù),對(duì)防范dll后門木馬還是有很大幫助的。文章內(nèi)容版權(quán)歸原作者所有VICHU.NET