关于动态嵌入式DLL木马病毒的发现及清除

ＤＬＬ木马的发现与清除林廷劈（三明学院数学与计算机科学系，福建三明３６５００４）摘要：探讨了ＤＬＬ木马的危害性，提出了如何发现这种木马的方法以及清除这种新型木马的措施。

关键词：网络安全；ＤＬＬ木马；发现；清除中图分类号：ＴＰ３９３．０８文献标识号：Ａ文章编号：１６７３－４３４３（２００６）０４－０４３９－０４ＴｈｅＤｅｔｅｃｔｉｏｎａｎｄＤｅｌｅｔｉｏｎｏｆｔｈｅＤＬＬＴｒｏｊａｎＨｏｒｓｅＬＩＮＴｉｎｇ－ｐｉ（ＤｅｐａｒｔｍｅｎｔｏｆＭａｔｈｅｍａｔｉｃｓａｎｄＣｏｍｐｕｔｅｒＳｃｉｅｎｃｅ，ＳａｎｍｉｎｇＵｎｉｖｅｒｓｉｔｙ，Ｓａｎｍｉｎｇ３６５００４，Ｃｈｉｎａ）Ａｂｓｔｒａｃｔ：ＴｈｉｓａｒｔｉｃｌｅｄｉｓｃｕｓｓｅｓｔｈｅｈａｒｍｏｆｔｈｅＤＬＬＢａｃｋｄｏｏｒ，ｐｏｉｎｔｓｏｕｔｈｏｗｔｏｄｅｔｅｃｔｔｈｅｂａｃｋｄｏｏｒａｎｄｉｎｔｒｏｄｕｃｅｓｓｏｍｅｍｅｔｈｏｄｓｈｏｗｔｏｅｒａｓｅｔｈｉｓｎｅｗｔｙｐｅｏｆｂａｃｋｄｏｏｒ．Ｋｅｙｗｏｒｄｓ：ＤＬＬＴｒｏｊａｎＨｏｒｓｅ；ｄｅｔｅｃｔｉｏｎ；ｄｅｌｅｔｉｏｎ引言木马在如今的网络中，是十分普遍的存在，它的危害不言而喻。

如果你家的电脑经常泄露秘密，一般都是木马的原因。

随着人们对网络安全意识的提高，对木马认识的加强，传统的木马（一个或几个可执行程序）已经很难再隐藏自己，于是出现了一种新型的木马，它就是用ＤＬＬ文件做成的木马。

这种木马把自己做成一个ＤＬＬ文件，然后再由某个ＥＸＥ程序文件作为载体对它进行调用，或者使用ＲＵＮＤＬＬ３２．ＥＸＥ来启动，通过这样的技术处理，一方面不会有木马本身的进程出现，同时也实现了端口的隐藏。

因此这种木马很难被察觉，也很难清除。

本文针对ＤＬＬ木马这一问题进行探讨，提出了ＤＬＬ木马如何发现和清除的方法。

１木马侵入机器的途径和危害木马大多十分隐蔽，在多数情况下，很多机器都是在不知不觉中被种植了木马。

根据笔者的研究发现，木马侵入机器的途径主要有：隐藏在软件包中，一旦用户下载了一个带有木马的软件包，在机器运行安装程序时，木马就会种植在系统中；很多木马都是绑定在某个软件上的，传播木马的玩家很喜欢把木马放在ＦＴＰ服务器上（或者ＷＥＢ服务器），然后他会在网络中找各种机会宣传服务器的地址让用户去访问，所以用户下载文件时一定要小心提防；隐藏在带附件的邮件中，这种邮件很多，一些垃圾邮件就经常是这种类型，一旦运行了附件中的文件，那么木马就在你的机器中＂安营扎寨＂了；当然这种方式的传播对用户来说已经不可怕了，因为很多用户都有一定的警惕性了，不轻易运行附件就可以了；通过即时通信工具进行传播，比如对方把木马和一张很有诱惑力的图片绑在一起，通过ＱＱ发给你，一般情况下你都会打开这图片看看，看完之后你的电脑就中招了；通过不良网站传播，这种情况最难防范，只要你的机器访问对方的网站，就等于“引狼入室”。

DLL木马是依靠DLL文件来作恶的，木马运行时不会在进程列表出现新的进程，而且很多DLL木马还插入到系统关键进程中(无法终止)，即使能被杀毒软件检测出来也无法查杀，这给系统安全带来极大的威胁。

如果你的手头没有趁手的杀马兵器，抄起办公的Excel我们也可以肉搏一番。

下面就看看我们是如何用Excel对付这种插入lsass.exe进程的木马吧!第一步：查找被感染的进程近日开机上网一段时间后就觉得网速特别的慢，于是便运行“netstat -a -n -o”查看开放的端口和连接，其中进程PID为580发起的连接极为可疑：状态为ESTABLISHED，表示两台机器正在通信(见图1)。

通过任务管理器可以知道这个进程为lsass.exe，根据进程的解释，lsass.exe是用于微软Windows系统的安全机制，它用于本地安全和登陆策略，显然这个进程是不需要开放端口和外部连接的，据此判断该进程极可能插入DLL木马。

如果牧马者当前没有进行连接，还可以通过端口状态判断是否中招，如TIME_W AIT的意思是结束了这次连接，说明端口曾经有过访问，但访问结束了，表明已经有黑客入侵过本机。

LISTENING 表示处于侦听状态，等待连接，但还没有被连接，不过只有TCP协议的服务端口才能处于LISTENING状态。

小提示：判断是否中招的前提是要找出被感染的进程，按被插入进程的类别分，DLL木马大致可以分为:1.插入常用进程，如Notepad.exe、Iexplorer.exe(此类木马的判断很简单，开机后不启动任何程序，打开任务管理器如果发现上述进程，那就可以判断中招了)。

2.插入系统进程，如Explorer.exe、lsass.exe(由于每台电脑开机后都有上述的进程，具体可以通过查看端口和进程本身特性加以判断，比如本机的lsass.exe、winlogon.exe、explorer.exe 就不会开放端口连接)。

3.对于插入本身就开放端口进程如alg.exe、svchost.exe，需要通过连接状况、连接IP、调用DLL综合加以判断。

关于动态嵌入式DLL木马病毒的发现及清除43399小游戏/随着MS的操作系统从Win98过渡到Winnt系统（包括2k/xp），MS的任务管理器也一下子脱胎换骨，变得火眼金睛起来（在WINNT下传统木马再也无法隐藏自己的进程），这使得以前在win98下靠将进程注册为系统服务就能够从任务管理器中隐形的木马面临前所未有的危机，所以木马的开发者及时调整了开发思路，所以才会有今天这篇讨论如何清除动态嵌入式DLL 木马的文章。

首先，我们来了解一下什么是动态嵌入式木马，为了在NT系统下能够继续隐藏进程，木马的开发者们开始利用DLL（Dynamic Link Library动态链接库）文件，起初他们只是将自己的木马写成DLL形式来替换系统中负责Win Socket1.x的函数调用wsock32.dll（Win Socket2中则由WS2_32.DLL负责），这样通过对约定函数的操作和对未知函数的转发（DLL 木马替换wsock32.dll时会将之更名，以便实现日后的函数转发）来实现远程控制的功能。

但是随着MS数字签名技术和文件恢复功能的出台，这种DLL马的生命力也日渐衰弱了，于是在开发者的努力下出现了时下的主流木马－－动态嵌入式DLL木马，将DLL木马嵌入到正在运行的系统进程中.explorer.exe、svchost.exe、smss.exe等无法结束的系统关键进程是DLL 马的最爱，这样这样在任务管理器里就不会出现我们的DLL文件，而是我们DLL的载体EXE 文件.当然通过进一步的加工DLL木马还可以实现另外的一些如端口劫持/复用（也就是所谓的无端口）、注册为系统服务、开多线程保护、等功能。

简而言之，就是DLL木马达到了前所未有的隐蔽程度。

那么我们如何来发现并清除DLL木马呢？一，从DLL木马的DLL文件入手，我们知道system32是个捉迷藏的好地方，许多木马都削尖了脑袋往那里钻，DLL马也不例外，针对这一点我们可以在安装好系统和必要的应用程序后，对该目录下的EXE和DLL文件作一个记录：运行CMD--转换目录到system32--dir *.exe>exeback.txt& dir *.dll>dllback.txt，这样所有的EXE和DLL文件的名称都被分别记录到exeback.txt和dllback.txt中，日后如发现异常但用传统的方法查不出问题时，则要考虑是不是系统中已经潜入DLL木马了.这是我们用同样的命令将system32下的EXE和DLL文件记录到另外exeback1.txt和dllback1.txt中，然后运行CMD--fc exeback.txt exeback1.txt>diff.txt & fc dllback.txt dllback1.txt>diff.txt.（用FC命令比较前后两次的DLL和EXE文件，并将结果输入到diff.txt中），这样我们就能发现一些多出来的DLL和EXE文件，然后通过查看创建时间、版本、是否经过压缩等就能够比较容易地判断出是不是已经被DLL木马光顾了。

剿清删不掉的DLL木马很多用户反映在其计算机中存在某些进程，删不掉又占用系统资源。

其实这是DLL木马在作怪，本文将帮助用户来发现DLL木马的藏身之处，并将其清除。

【IT专家网独家】DLL注入木马是目前网络上十分流行的木马形式，它就像是一个寄生虫，木马以DLL文件的形式，寄宿在某个重要的系统进程中，通过宿主来调用DLL文件，实现远程控制的功能。

这样的木马嵌入到系统进程中可以穿越防火墙，更让人头疼的是，用杀毒软件进行查杀，杀软即使报警提示发现病毒，但是也无法杀掉木马病毒文件，因为木马DLL 文件正被宿主调用而无法删除。

下面我们把杀软放到一边，通过专用工具及其手工的方法来清除DLL木马。

一、清除思路1、通过系统工具及其第三方工具找到木马的宿主进程，然后定位到木马DLL文件。

2、结束被木马注入的进程。

3、删除木马文件。

4、注册表相关项的清除。

二、清除方法1、普通进程DLL注入木马的清除有许多DLL木马是注入到“iexplore.exe”和“explorer.exe”这两个进程中的，对于注入这类普通进程的DLL木马是很好清除掉的。

如果DLL文件是注入到“iexplore.exe”进程中，此进程就是IE浏览进程，那么可以关掉所有IE窗口和相关程序，然后直接找到DLL文件进行删除就可以了。

如果是注入到“explorer.exe”进程中，那么就略显麻烦一些，因为此进程是用于显示桌面和资源管理器的。

当通过任务管理器结束掉“explorer.exe”进程时，桌面无法看破到，此时桌面上所有图标消失掉，“我的电脑”、“网上邻居”等所有图标都不见了，也无法打开资源管理器找到木马文件进行删除了。

怎么办呢?这时候可以在任务管理器中点击菜单“文件”→“新任务运行”，打开创建新任务对话框，点击“浏览”挖通过浏览对话框就可以打开DLL文件所在的路径。

然后选择“文件类型”为“所有文件”，即可显示并删除DLL了。

(图1)提示：如果你熟悉命令行(cmd.exe)的话，可以直接通过命令来清除，如：taskkill /f /im explorer.exedel C:\Windows\System32\test.dllstart explorer.exe第一行是结束explorer.exe，第二回是删除木马文件test.dll，第三行是重启explorer.exe2、使用IceSword卸载DLL文件调用如果木马是插入了“svchost.exe”之类的关键进程中，就不能指望进程管理器来结束进程了，可能需要一些附加的工具卸载掉某个DLL文件的调用。

dll3.tmp、usp10.dll 等病毒清除方案病毒症状该样本是使用“VC”编写的网络蠕虫，采用“UPX”加壳方式，企图躲避特征码扫描，加壳后长度为“30,208 字节”，病毒扩展名为“exe”，主要通过“文件捆绑”、“下载器下载”、“网页挂马”等方式传播，病毒主要目的为下载大量病毒，并运行。

用户中毒后，会出现安全软件无故关闭，网络运行缓慢，安全模式无法进入，windows 系统无故报错等现象。

感染对象Windows 2000/Windows XP/Windows 2003传播途径网页木马、文件捆绑、下载器下载病毒分析（1）设置自身属性为隐藏和系统属性，查看同目录下是否存在AUTORUN.INF，如果存在，打开C盘，执行AUTORUN.INF，设置计算机下次启动删除自身（2）运行notepad.exe进程，并关闭notepad.exe进程，如果运行失败，结束自身进程（3）尝试删除A VP服务，创建动态库文件caors.dll，遍利进程，如果存在CCenter.exe进程，创建bsv.VBS运行动态库，不存在直接加载，释放驱动文件AsyncMac.sys，加载驱动恢复SSDT，删除驱动，删除动态库（4）创建动态库文件dll3.tmp并加载，结束大部分安全软件进程，停止和删除安全软件相关服务，删除安全软件文件，下载病毒并运行，创建映像劫持，修改注册表，使显示隐藏文件失效，删除安全模式相关注册表，删除安全软件注册表启动项目（5）创建线程，查看是否存在%SystemRoot%\system32\dllcache\linkinfo.dll，如果存在，结束线程，如果不存在复制%SystemRoot%\system32\linkinfo.dll 为%SystemRoot%\system32\dllcache\linkinfo.dll，释放驱动文件smvss.sys，并创建服务启动驱动，修改%SystemRoot%\system32\linkinfo.dll文件，删除驱动文件（6）遍历进程，如果发现360tray.exe进程，释放驱动文件WOHSLS.fon，创建服务启动驱动，结束360相关进程，通过读取注册表，获取360安装目录，在安装目录创建\safemon\usp10.dll目录，重命名safemon目录为monsafe（7）释放驱动smyns.sys，创建服务启动驱动，修改aaaamon.dll文件（8）遍历磁盘写AUTORUN.INF和GRIL.PIF文件病毒创建文件%SystemDriver%\caors.dll%SystemRoot%\Fonts\bsv.VBS%SystemRoot%\system32\drivers\AsyncMac.sys%Temp%\dll3.tmp%SystemRoot%\fonts\smvss.sys%SystemRoot%\Fonts\WOHSLS.fonX:\GRIL.PIFX:\AUTORUN.INF（X：为任意盘符）病毒修改文件%SystemRoot%\system32\linkinfo.dll%SystemRoot%\system32\aaaamon.dll病毒删除文件%SystemDriver%\caors.dll%SystemRoot%\Fonts\bsv.VBS%SystemRoot%\system32\drivers\AsyncMac.sys%SystemRoot%\fonts\smvss.sys%SystemRoot%\Fonts\WOHSLS.fon病毒创建目录[360安全卫士安装目录]\monsafe\usp10.dll病毒创建注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AsyncMacHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\smvssHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WOHSLSHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\病毒修改注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanc ed\Folder\Hidden\SHOW ALL\病毒删除注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96 7-E325-11CE-BFC1-08002BE10318}HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E96 7-E325-11CE-BFC1-08002BE10318}键：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run值：360Safetray360SafeboxKavStartvptrayccAppRavTrayeguiessact病毒访问网络http://win**k.ch.ma/dd.txthttp://cao**0.vu.cx/dd/1.exehttp://cao**0.vu.cx/dd/4.exehttp://cao**0.vu.cx/dd/6.exehttp://cao**0.vu.cx/dd/8.exe病毒清除方案1、用相同版本文件替换%SystemRoot%\system32\linkinfo.dll和%SystemRoot%\system32\aaaamon.dll，修复安全模式相关注册表2、手动删除以下文件：%Temp%\dll3.tmpX:\GRIL.PIFX:\AUTORUN.INF（X：为任意盘符）3、删除以下目录：[360安全卫士安装目录]\monsafe\usp10.dll4、手动删除以下注册表值：键：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AsyncMac键：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\smvss键：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WOHSLS键：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentV ersion\Image File Execution Options\[所有劫持]5、手动修改以下注册表：键：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanc ed\Folder\Hidden\SHOW ALL\值：CheckedV alue数据：1转自：卡饭安全学院文档编辑：ganda。

电脑中的木马病毒如何彻底查杀电脑中的木马病毒如何彻底查杀在用电脑的过程中，经常会遇到一些木马病毒，中病毒后，很多人都会表示用电脑杀毒软件杀毒就可以了，还有一些人在使用杀毒软件后发现，病毒在重启电脑之后又再次出现了，那么怎么样才能彻底查杀电脑中的木马病毒呢?下面和大家分享一些方法。

一、文件捆绑检测将木马捆绑在正常程序中，一直是木马伪装攻击的一种常用手段。

下面我们就看看如何才能检测出文件中捆绑的木马。

1.MT捆绑克星文件中只要捆绑了木马，那么其文件头特征码一定会表现出一定的规律，而MT捆绑克星正是通过分析程序的文件头特征码来判断的。

程序运行后，我们只要单击“浏览”按钮，选择需要进行检测的文件，然后单击主界面上的“分析”按钮，这样程序就会自动对添加进来的文件进行分析。

此时，我们只要查看分析结果中可执行的头部数，如果有两个或更多的可执行文件头部，那么说明此文件一定是被捆绑过的!2.揪出捆绑在程序中的木马光检测出了文件中捆绑了木马是远远不够的，还必须请出“Fearless Bound File Detector”这样的“特工”来清除其中的木马。

程序运行后会首先要求选择需要检测的程序或文件，然后单击主界面中的“Process”按钮，分析完毕再单击“Clean File”按钮，在弹出警告对话框中单击“是”按钮确认清除程序中被捆绑的木马。

二、清除DLL类后门相对文件捆绑运行，DLL插入类的木马显的更加高级，具有无进程，不开端口等特点，一般人很难发觉。

因此清除的步骤也相对复杂一点。

1.结束木马进程由于该类型的木马是嵌入在其它进程之中的，本身在进程查看器中并不会生成具体的项目，对此我们如果发现自己系统出现异常时，则需要判断是否中了DLL木马。

在这里我们借助的是IceSword工具，运行该程序后会自动检测系统正在运行的进程，右击可疑的进程，在弹出的菜单中选择“模块信息”，在弹出的窗口中即可查看所有DLL模块，这时如果发现有来历不明的项目就可以将其选中，然后单击“卸载”按钮将其从进程中删除。

[揭开DLL木马神秘面纱-删除木马揭开DLL木马神秘面纱-删除木马一、初识DLL木马首先了解一下DLL文件，DLL(Dynamic Link Library)是系统中的动态链接库文件，DLL文件本身并不能够运行，需要应用程序来调用。

当程序运行时，Windows将其装入内存中，并寻找文件中出现的动态链接库文件。

对于每个动态链接，Windows都会装入指定的DLL文件并把它映射到相应虚拟地址空间中。

DLL木马实际就是把一段实现了木马功能的代码加上一些特殊代码写成DLL文件。

DLL文件运行时是插入到应用程序的内存模块当中，所以DLL文件无法删除。

下面以一个实例说明DLL文件的运行，单击“开始→运行”并输入“rundll32.exe netplwiz.dll,UsersRunDll”，回车后会看到一个用户账户设置窗口，打开进程列表发现系统新增一个“rundll32.exe”进程，但是并不会发现DLL之类的进程，“netplwiz.dll,UsersRunDll”就是通过“rundll32.exe”来调用的，如果这是一个DLL木马，那么它启动后新增的进程就是正常的“rundll32.exe”，一般用户也不会将“rundll32.exe”中止或删除，而木马此时却可以在后台悄悄地“作恶”。

小提示当然除了用“rundll32.exe”作为载体外，DLL木马还可以通过动态嵌入技术，通过任意一个系统进程进行加载。

二、查杀方法前面介绍了DLL文件自身并不能运行，它必须通过其它程序调用才能“作恶”，主要有以下两种途径:1.通过Rundl32l.exe启动的木马木马运行如上所述，系统启动后若发现加载了“rundll32.exe”进程，那很可能就是中招了。

不过系统也会调用“rundll32.exe”来加载正常的DLL文件，主要看加载的是什么DLL文件，因为木马大多是通过注册表键值来自启动。

首先检查那些常见的自启动键值，如“3721”就是通过DLL文件来启动的，虽然它并不是木马，但是它的自启动和运行方式可以借鉴。

２００７·６中小学电教ＥａｓｙＲｅｃｏｖｅｒｙＰｒｏｆｅｓｓｉｏｎａｌ６．０４后点击“ＤａｔａＲｅｃｏｖｅｒｙ”按钮，再点击右边窗口中的“ＥｍｅｒｇｅｎｃｙＤｉｓｋｅｔｔｅ”按钮，当出现急救盘制作向导窗口后将软盘插入软驱，然后相继点击“Ｃｏｎｔｉｎｕｅ→Ｙｅｓ→Ｓｔａｒｔ→确定→Ｅｘｉｔ”等几个按钮即可完成急救盘的制作。

２．在ＤＯＳ下恢复数据进入需要恢复数据的计算机的ＢＩＯＳ设置，将第一启动设备设置为软驱，然后利用所制作的急救盘引导系统进入ＤＯＳ版的ＥａｓｙＲｅｃｏｖｅｒｙＰｒｏｆｅｓｓｉｏｎａｌ６．０４。

进入主界面后，点击“Ｎｅｘｔ”按钮，扫描后出现硬盘分区显示窗口，在此选中需要恢复的数据所在的硬盘分区。

点击“Ｎｅｘｔ”之后进入设置窗口，可在此选择恢复的模式，一般用默认值，直接点击“Ｎｅｘｔ”。

此后，软件会弹出一个提示窗口，点击“ＯＫ”进入恢复设置、选择窗口。

选中需要恢复的文件，点击下面“Ｄｅｓｔｉｎａｔｉｏｎ”栏后面的“Ｂｒｏｗｓｅ”按钮，设置一个用来存放欲恢复数据的目录。

注意，不能将被恢复数据存放在数据本身所在的那个分区。

完成设置后，点击“Ｎｅｘｔ”，程序会弹出一个是否保存恢复报告的提示窗口，点击“Ｎｏ”，程序会将选中的文件恢复到指定的位置。

ＤＯＳ版的ＥａｓｙＲｅｃｏｖｅｒｙＰｒｏｆｅｓｓｉｏｎａｌ６．０４没有过多的功能按钮，不论是恢复数据还是恢复误格式化分区上的数据，其操作方法都是一样的。

另外，前面说过ＥａｓｙＲｅｃｏｖｅｒｙＰｒｏｆｅｓｓｉｏｎａｌ６．０４可以恢复误格式化分区上的数据，但要获得好的恢复效果，必须保证该分区在格式化之后没有再写入数据：格式化硬盘时，计算机也只是将根目录区清零。

由于删除与格式化操作只是在文件名或根目录名上做了一些手脚，对于文件的数据部分没有丝毫变动，这才给文件恢复提供了可能。

如果在删除文件之后又对磁盘进行了写操作，那么新文件有可能会覆盖被删除文件原先所占据的硬盘空间，那么该文件就不能成功地恢复了。

DLL病毒的常用3种清除方法|mgr病毒清除方法DLL病毒的几种基本原理：单独编写的DLL文件病毒：这类病毒是最容易被清除的DLL病毒，其原理也非常简单。

病毒作者编写一个DLL文件，然后通过注册表的Run键值或者其他可以被系统加载的地方启动。

替换系统文件的DLL病毒：病毒作者把病毒代码做成一个和系统匹配的DLL文件，并把原来的DLL文件改名。

遇到应用程序请求原来的DLL文件时，DLL病毒就启一个转发的作用，把“参数”传递给原来的DLL文件。

通过偷梁换柱的方法，DLL病毒堂而皇之的在用户电脑中活动。

动态嵌入式DLL病毒：这类病毒，可以在系统进程运行的时候，通过一些方法，进入系统的进程中。

由于系统进程无法终止，动态嵌入式的DLL病毒很难清除。

下面，我们以臭名昭著的守护者(NOIR—QUEEN)DLL木马为例，介绍一下DLL病毒的清除方法。

工具/原料DLL备份补丁步骤/方法第一步：查找DLL木马的Loader：守护者(NOIR—QUEEN)会以DLL文件的形式插入到系统的Lsass.exe进程中，由于Lsass.exe是系统的关键进程，不能被终止。

这种情况下，我们必须查找守护者的Loader。

使用“进程猎手”工具查看Lsass进程所调用的DLL文件，并与感染病毒前的信息比较，可以发现Lsass进程中增加了“QoSserver.dll”文件。

通过操作系统自带的文件搜索功能，查找到了QoSserver.exe文件，这就是守护者的Loader。

第二步：结束相关进程：感染了守护者病毒，在任务管理器中会有一个QoSserver.exe进程，强制结束这个进程。

并在“服务”选项中，找到该项服务，并将其禁用。

第三步：清理注册表：利用注册表中的查找服务，查找“QoSserver”关键字，并且将其键值逐一删除。

所有操作完成之后，重新启动计算机，然后逐一检查守护者是否被清理干净。

这样，我们就可以手工清除DLL病毒。

由于DLL病毒类型不同，其清除方法也有所差异。

防范入侵之文件对比查杀嵌入式木马WEB安全 -电脑资料新一代的嵌入式木马，也就是通常所说的dll型注入式木马，其运用了动态嵌入技术，动态嵌入最常见的是最常见的是钩子、API以及远程线程技术，而现在大多数的嵌入式木马都是运用远程线程技术把自己本身挂在一个正常的系统进程中，通常这一类木马清除起来比较困难，防范入侵之文件对比查杀嵌入式木马WEB安全。

随着计算机的发展,木马技术也在不停的发展，以冰河为首的老一代经典木马已经开始慢慢消失在经典木马行列中，取而代之的则是新一代的嵌入式木马，也就是通常所说的dll型注入式木马，其运用了动态嵌入技术，动态嵌入最常见的是最常见的是钩子、API以及远程线程技术，而现在大多数的嵌入式木马都是运用远程线程技术把自己本身挂在一个正常的系统进程中，通常这一类木马清除起来比较困难。

嵌入式木马之迷那到底什么是嵌入式dll型木马呢？DLL的代码和其他程序几乎没什么两样，仅仅是接口和启动模式不同，只要改动一下代码入口，DLL就变成一个独立的程序了。

当然，DLL文件是没有程序逻辑的，这里并不是说DLL=EXE，不过，依然可以把DLL看做缺少了main入口的EXE，DLL带的各个功能函数可以看作一个程序的几个函数模块。

DLL木马就是把一个实现了木马功能的代码，加上一些特殊代码写成DLL文件，导出相关的API，在别人看来，这只是一个普通的DLL，但是这个DLL却携带了完整的木马功能，而dll木马的标准执行入口为dllmain，dllmain包含了木马的运行代码，或者其指向木马的执行模块，在dll木马中通过在另一个进程中创建远程线程（RemoteThread）的方法进入那个进程的内存地址空间被称为“注入”，当载体在那个被注入的进程里创建了远程线程并命令它加载DLL时，木马就挂上去执行了，没有新进程产生，这就是嵌入式dll木马。

因此通常把dll木马注入到一些系统关键进程，如嵌入到ie浏览器，Explorer.exe中，来达到更好的启动和隐蔽自身的目的。

动态嵌入式木马检测方法研究的开题报告一、选题背景及研究意义：当前网络安全形势严峻，威胁不断增加，各种类型的恶意软件愈发普及，而其攻击对象往往是于生活息息相关的常见操作系统、常见应用程序以及常见硬件平台。

根据安全厂商统计，当前市场上的木马病毒已经高达数十万种，而这些木马病毒不同于传统病毒，它们在感染目标后不会破坏系统，而是利用被感染的主机发送恶意数据，获取敏感用户信息，甚至劫持系统控制权。

同时，随着嵌入式系统的普及与发展，依赖于该类系统的产品已经广泛出现，如智能家居、智慧城市、物联网等，这些系统往往具有强制安全要求，且面对的攻击形式也相对复杂。

基于以上原因，研究如何有效检测动态嵌入式木马，成为当前网络安全领域的热门研究方向。

二、研究内容：本研究主要围绕如何有效检测动态嵌入式木马展开研究工作。

具体来讲，本研究将立足于深入探究嵌入式木马特征，结合目前主流的检测算法，创新性地提出一种基于动态特征的嵌入式木马检测方法。

具体内容包括：1. 对当前市场上主流的嵌入式木马型号进行深入研究，提取出它们的静态、动态两方面的特征。

2. 结合预处理技术，通过对采集到的实际嵌入式木马代码进行数据清洗，提升算法的检测效率。

3. 设计一种基于特征提取的动态嵌入式木马检测方案。

具体来讲，该方案将由三个主要部分组成：（1）基于转移路径的特征提取技术，（2）基于机器学习算法的嵌入式木马检测技术，（3）基于实验数据的测试与评估技术。

三、研究方法：本研究采用的主要研究方法为实证分析法。

首先，对当前市场上的嵌入式木马进行分析，提取其特征，将其分为静态和动态两个部分，确定特征提取技术；其次，将预处理技术结合到木马检测流程中，优化算法的检测效率，同时针对检测效率与准确率进行平衡；最后，根据实验数据，评估所提出木马检测方案的准确性以及适应性。

四、预期成果：本文主要研究目标在于提出一种动态嵌入式木马检测方法，该方法需要经由实验数据进行相关测试与评估，通过实验验证，检测效果必须达到较好的检测效率和准确率，并且能够适用于跨平台的嵌入式系统。

怎么删除插入式木马在互联网飞速发展的时代里，电脑病毒同样也在发展，那么你们知道怎么删除插入式木马吗?下面是小编整理的一些关于怎么删除插入式木马的相关资料，供你参考。

删除插入式木马的方法如下：一、通过自动运行机制查木马一说到查找木马，许多人马上就会想到通过木马的启动项来寻找“蛛丝马迹”，具体的地方一般有以下几处：(1)注册表启动项在“开始/运行”中输入“regedit.exe”打开注册表编辑器，依次展开[HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\]和[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Cur rentVersion\]查看下面所有以Run开头的项，其下是否有新增的和可疑的键值，也可以通过键值所指向的文件路径来判断，是新安装的软件还是木马程序。

另外[HKEY_LOCAL_MACHINE\Software\classes\exefile\shell\open\ command\]键值也可能用来加载木马，比如把键值修改为“X:\windows\system\ABC.exe %1%”。

(2)系统服务有些木马是通过添加服务项来实现自启动的，大家可以打开注册表编辑器，在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Cur rentVersion\Runservices]下查找可疑键值，并在[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services \]下查看的可疑主键。

然后禁用或删除木马添加的服务项：在“运行”中输入“Services.msc”打开服务设置窗口，里面显示了系统中所有的服务项及其状态、启动类型和登录性质等信息。

找到木马所启动的服务，双击打开它，把启动类型改为“已禁用”，确定后退出。

DLL木马清除全攻略（上）
郭建伟
【期刊名称】《网络运维与管理》
【年(卷),期】2014(000)017
【摘要】木马是黑客最喜欢的入侵工具，它可以让黑客毫不费力地通过秘密开启的后门进入被控机，执行探测和盗窃敏感数据。

在众多的木马中，DLL木马可谓是特立独行的另类，采用进程插入技术，藏身于合法的进程之中，不露痕迹的开启后门，为黑客入侵大开方便之门。

面对阴险狡猾的DLL木马，我们当然不能任其胡作非为，本文将从分析DLL具体实例入手，从发现DLL木马文件、定位其宿主进程、将其彻底清除等环节，深入介绍铲除DLL木马的具体方法，希望能够对您有所帮助和启发。

【总页数】6页(P88-93)
【作者】郭建伟
【作者单位】河南
【正文语种】中文
【中图分类】TP317
【相关文献】
1.DLL木马清除全攻略（下） [J], 郭建伟;
2.实战特洛伊木马：—一个木马程序的发现和清除 [J], 沧浪客
3.DLL木马的发现与清除 [J], 林廷劈
4.火眼金睛——DLL进程插入型木马清除记 [J], 冰河洗剑
5.干掉普通方法不易删除的恶性文件清除系统中的DLL木马后门 [J], 逍遥浪子因版权原因，仅展示原文概要，查看原文内容请购买。