DLL木马的发现与清除
简单五步轻轻松松清除DLL木马
口么 ? 所 有 的 木 马 只 要 进 行 连 接 , 只 要 它 接 受 / 送 数 据 则 必 然 会 打 发 开 端 口 , L 木 马 也 不 例 外 , 这 也 DL 为我们发现他 们提供 了一条线索 ,
我 们 可 以 使 用 fu dtn o n s e的 进 程 端 o 口 查 看 工 具 F ot e e来 查 看 与 端 p r. x 口 对 应 的 进 程 , 样 可 以 将 范 围 缩 这
备 份 dbc 七 U ak. t比 较 一 下 , 这 样 也 x 能够缩小排查 范 围。 3、 还 记 得 木 马 的 特 征 之 一 端
系 统 中 负 责 W iS ce1x 的 函 数 n ok t. 调 用 wsc3 .U W iSce 中 则 由 ok 2 d ( n okt 2
d mp来 查 找 D L 木 马 就 比 较 容 易 u L 了 . 然 有 如 上 文 提 到 的 有 些 木 马 当 会 通 过 端 口 劫 持 或 者 端 口 重 用 的 方 法 来 进 行 通 信 , 3 、 0、 4 3、 1 9 8 1 4 等 -
马 , 将 D L木 马 嵌 入 到 正 在 运 行 L
和 文 件 恢 复 功 能 的 出 台 , 种 DL 这 L 马 的 生 命 力 也 日渐 衰 弱 了 ,于 是 在 开 发 者 的 努 力 下 出 现 了 时 下 的 主 流 木 马 一 动 态 嵌 入 式 DL 木 L
df tt f U ak ttUak .( >d . i . &c bc . dbc1 臼t x d x i f
W S 2
_
现 异 常 但 用 传 统 的 方 法 查 不 出 问 题 时 , 要 考 虑 是 不 是 系 统 中 已 经 则 潜 入 DL 木 马 了 . 是 我 们 用 同 样 L 这 的 命 令 将 ss m3 下 的 E E 和 yt 2 e X
DLL木马是依靠DLL文件来作恶的
DLL木马是依靠DLL文件来作恶的,木马运行时不会在进程列表出现新的进程,而且很多DLL木马还插入到系统关键进程中(无法终止),即使能被杀毒软件检测出来也无法查杀,这给系统安全带来极大的威胁。
如果你的手头没有趁手的杀马兵器,抄起办公的Excel我们也可以肉搏一番。
下面就看看我们是如何用Excel对付这种插入lsass.exe进程的木马吧!第一步:查找被感染的进程近日开机上网一段时间后就觉得网速特别的慢,于是便运行“netstat -a -n -o”查看开放的端口和连接,其中进程PID为580发起的连接极为可疑:状态为ESTABLISHED,表示两台机器正在通信(见图1)。
通过任务管理器可以知道这个进程为lsass.exe,根据进程的解释,lsass.exe是用于微软Windows系统的安全机制,它用于本地安全和登陆策略,显然这个进程是不需要开放端口和外部连接的,据此判断该进程极可能插入DLL木马。
如果牧马者当前没有进行连接,还可以通过端口状态判断是否中招,如TIME_W AIT的意思是结束了这次连接,说明端口曾经有过访问,但访问结束了,表明已经有黑客入侵过本机。
LISTENING 表示处于侦听状态,等待连接,但还没有被连接,不过只有TCP协议的服务端口才能处于LISTENING状态。
小提示:判断是否中招的前提是要找出被感染的进程,按被插入进程的类别分,DLL木马大致可以分为:1.插入常用进程,如Notepad.exe、Iexplorer.exe(此类木马的判断很简单,开机后不启动任何程序,打开任务管理器如果发现上述进程,那就可以判断中招了)。
2.插入系统进程,如Explorer.exe、lsass.exe(由于每台电脑开机后都有上述的进程,具体可以通过查看端口和进程本身特性加以判断,比如本机的lsass.exe、winlogon.exe、explorer.exe 就不会开放端口连接)。
3.对于插入本身就开放端口进程如alg.exe、svchost.exe,需要通过连接状况、连接IP、调用DLL综合加以判断。
DLL木马清除全攻略(上)
DLL木马清除全攻略(上)
郭建伟
【期刊名称】《网络运维与管理》
【年(卷),期】2014(000)017
【摘要】木马是黑客最喜欢的入侵工具,它可以让黑客毫不费力地通过秘密开启的后门进入被控机,执行探测和盗窃敏感数据。
在众多的木马中,DLL木马可谓是特立独行的另类,采用进程插入技术,藏身于合法的进程之中,不露痕迹的开启后门,为黑客入侵大开方便之门。
面对阴险狡猾的DLL木马,我们当然不能任其胡作非为,本文将从分析DLL具体实例入手,从发现DLL木马文件、定位其宿主进程、将其彻底清除等环节,深入介绍铲除DLL木马的具体方法,希望能够对您有所帮助和启发。
【总页数】6页(P88-93)
【作者】郭建伟
【作者单位】河南
【正文语种】中文
【中图分类】TP317
【相关文献】
1.DLL木马清除全攻略(下) [J], 郭建伟;
2.实战特洛伊木马:—一个木马程序的发现和清除 [J], 沧浪客
3.DLL木马的发现与清除 [J], 林廷劈
4.火眼金睛——DLL进程插入型木马清除记 [J], 冰河洗剑
5.干掉普通方法不易删除的恶性文件清除系统中的DLL木马后门 [J], 逍遥浪子因版权原因,仅展示原文概要,查看原文内容请购买。
开发杀软潜能,彻底清除DLL注入木马
举个例子,大家可以打开KV2007的进程查看器,任意选中一个进程,点击右键,选择“模块列表”命令,在弹出的对话框中,就可以看到此进程调用的各种模块信息(如图)。
在这些模块中,有可能就有DLL木马模块。正是由于DLL木马隐藏在进程中,而不是作为一个单独的进程,因此很难检查出来。既使查出了木马,也很难成功地 清除掉。为什么呢?因为有些DLL木马被进程所调用,要删除DLL木马文件中时,往往会提示该文件正在使用中,因此无法删除。只有结束掉被DLL木马注入 的进程,才可以成功删除该木马。但如果某些DLL木马注入到如“csrss.exe”或“winlogon.exe”之类的进程中(例如曾经非常流行的 “黑客之门”木马),一旦结束这类进程时,就会造成系统重启。因此木马也成了顽疾,再也无法清除掉。而且,DLL木马有一个得天独厚的优势,那就是它借助 于隐藏在正常的系统进程中,因此可以突破网络防火墙,被黑客或恶意攻击者连接控制。例如,假设某个DLL木马注入到了IE进程中,当木马连接远程控制端 时,防火墙会认为是IE进程在使用网络,因此就会放进,导致隐藏在其中的DLL木马得以无阻碍的穿透网络。
DLL病毒的常用3种清除方法mgr病毒清除方法
DLL病毒的常用3种清除方法|mgr病毒清除方法DLL病毒的几种基本原理:单独编写的DLL文件病毒:这类病毒是最容易被清除的DLL病毒,其原理也非常简单。
病毒作者编写一个DLL文件,然后通过注册表的Run键值或者其他可以被系统加载的地方启动。
替换系统文件的DLL病毒:病毒作者把病毒代码做成一个和系统匹配的DLL文件,并把原来的DLL文件改名。
遇到应用程序请求原来的DLL文件时,DLL病毒就启一个转发的作用,把“参数”传递给原来的DLL文件。
通过偷梁换柱的方法,DLL病毒堂而皇之的在用户电脑中活动。
动态嵌入式DLL病毒:这类病毒,可以在系统进程运行的时候,通过一些方法,进入系统的进程中。
由于系统进程无法终止,动态嵌入式的DLL病毒很难清除。
下面,我们以臭名昭著的守护者(NOIR—QUEEN)DLL木马为例,介绍一下DLL病毒的清除方法。
工具/原料DLL备份补丁步骤/方法第一步:查找DLL木马的Loader:守护者(NOIR—QUEEN)会以DLL文件的形式插入到系统的Lsass.exe进程中,由于Lsass.exe是系统的关键进程,不能被终止。
这种情况下,我们必须查找守护者的Loader。
使用“进程猎手”工具查看Lsass进程所调用的DLL文件,并与感染病毒前的信息比较,可以发现Lsass进程中增加了“QoSserver.dll”文件。
通过操作系统自带的文件搜索功能,查找到了QoSserver.exe文件,这就是守护者的Loader。
第二步:结束相关进程:感染了守护者病毒,在任务管理器中会有一个QoSserver.exe进程,强制结束这个进程。
并在“服务”选项中,找到该项服务,并将其禁用。
第三步:清理注册表:利用注册表中的查找服务,查找“QoSserver”关键字,并且将其键值逐一删除。
所有操作完成之后,重新启动计算机,然后逐一检查守护者是否被清理干净。
这样,我们就可以手工清除DLL病毒。
由于DLL病毒类型不同,其清除方法也有所差异。
DLL技术木马进程内幕大揭密
D L L技术木马进程内幕大揭密Revised by Petrel at 2021很多朋友还是不知道“DLL木马”是什么东东。
那到底什么是“DLL木马”呢它与一般的木马又有什么不同带着这些疑问,一起开始这次揭密之旅吧!一、追根溯源从DLL说起要了解什么是“DLL木马”,就必须知道“DLL”是什么意思!说起DLL,就不能不涉及到久远的DOS时代。
在DOS大行其道的时代,写程序是一件繁琐的事情,因为每个程序的代码都是需要独立的,这时为了实现一个普通的功能,甚至都要为此编写很多代码。
后来随着编程技术发展与进步,程序员们开始把很多常用的代码集合(也就是通用代码)放进一个独立的文件里,并把这个文件称为“库”(Library)。
在写程序的时候,把这个库文件加入编译器,就能使用这个库包含的所有功能而不必自己再去写一大堆代码,这个技术被称为“静态链接”(Static Link)。
静态链接技术让劳累的程序员松了口气,一切似乎都很美好。
然而静态链接技术的最大缺陷就是极度消耗和浪费资源,当一个程序只想用到一个库文件包含的某个图形效果时,系统将把这个库文件携带的所有的图形效果都加入程序,这样就使得程序非常臃肿。
虽然这并不重要,可是这些臃肿的程序却把道路都阻塞了——静态链接技术让最终的程序成了大块头,因为编译器把整个库文件都加载进去了。
技术永远是在发展的,静态链接技术由于无法避免的弊端,不能满足程序员和编程的需要,人们开始寻找一种更好的方法来解决代码重复的难题。
随着Windows系统的出现, Windows系统使用一种被称为“动态链接库”(Dynamic LinkLibrary)的新技术,它同样也是使用库文件,DLL的名字就是这样来的。
动态链接本身和静态链接没什么区别,也是把通用代码写进一些独立文件里,但是在编译方面,微软把库文件做成已经编译好的程序文件,给它们开发一个交换数据的接口。
程序员编写程序的时候,一旦要使用某个库文件的一个功能函数,系统就把这个库文件调入内存,连接上这个程序占有的任务进程,然后执行程序要用的功能函数,并把结果返回给程序显示出来。
电脑中的木马病毒如何彻底查杀
电脑中的木马病毒如何彻底查杀电脑中的木马病毒如何彻底查杀在用电脑的过程中,经常会遇到一些木马病毒,中病毒后,很多人都会表示用电脑杀毒软件杀毒就可以了,还有一些人在使用杀毒软件后发现,病毒在重启电脑之后又再次出现了,那么怎么样才能彻底查杀电脑中的木马病毒呢?下面和大家分享一些方法。
一、文件捆绑检测将木马捆绑在正常程序中,一直是木马伪装攻击的一种常用手段。
下面我们就看看如何才能检测出文件中捆绑的木马。
1.MT捆绑克星文件中只要捆绑了木马,那么其文件头特征码一定会表现出一定的规律,而MT捆绑克星正是通过分析程序的文件头特征码来判断的。
程序运行后,我们只要单击“浏览”按钮,选择需要进行检测的文件,然后单击主界面上的“分析”按钮,这样程序就会自动对添加进来的文件进行分析。
此时,我们只要查看分析结果中可执行的头部数,如果有两个或更多的可执行文件头部,那么说明此文件一定是被捆绑过的!2.揪出捆绑在程序中的木马光检测出了文件中捆绑了木马是远远不够的,还必须请出“Fearless Bound File Detector”这样的“特工”来清除其中的木马。
程序运行后会首先要求选择需要检测的程序或文件,然后单击主界面中的“Process”按钮,分析完毕再单击“Clean File”按钮,在弹出警告对话框中单击“是”按钮确认清除程序中被捆绑的木马。
二、清除DLL类后门相对文件捆绑运行,DLL插入类的木马显的更加高级,具有无进程,不开端口等特点,一般人很难发觉。
因此清除的步骤也相对复杂一点。
1.结束木马进程由于该类型的木马是嵌入在其它进程之中的,本身在进程查看器中并不会生成具体的项目,对此我们如果发现自己系统出现异常时,则需要判断是否中了DLL木马。
在这里我们借助的是IceSword工具,运行该程序后会自动检测系统正在运行的进程,右击可疑的进程,在弹出的菜单中选择“模块信息”,在弹出的窗口中即可查看所有DLL模块,这时如果发现有来历不明的项目就可以将其选中,然后单击“卸载”按钮将其从进程中删除。
七种常见木马破坏表现及清除方法
七种常见木马破坏表现及清除方法木马的出现对我们的系统造成了很大的危害,但是因为木马通常植入得非常隐蔽,很难完全删除,所以,这里我们介绍一些常见木马的清除方法。
一、网络公牛(Netbull)网络公牛是国产木马,默认连接端口23444。
服务端程序newserver.exe运行后,会自动脱壳成checkdll.exe,位于C:WINDOWSSYSTEM下,下次开机checkdll.exe 将自动运行,所以很隐蔽、危害很大。
同时,服务端运行后会自动捆绑以下文件:win2000下:notepad.exe;regedit.exe,reged32.exe;drwtsn32.exe;winmine.exe。
服务端运行后还会捆绑在开机时自动运行的第三方软件(如:realplay.exe、QQ、ICQ等)上,在注册表中网络公牛也悄悄地扎下了根。
网络公牛采用的是文件捆绑功能,和上面所列出的文件捆绑在一块,要清除非常困难。
这样做也有个缺点:容易暴露自己!只要是稍微有经验的用户,就会发现文件长度发生了变化,从而怀疑自己中了木马。
清除方法:1.删除网络公牛的自启动程序C:WINDOWSSYSTEMCheckDll.exe。
2.把网络公牛在注册表中所建立的键值全部删除:3.检查上面列出的文件,假如发现文件长度发生变化(大约增加了40K左右,能够通过与其它机子上的正常文件比较而知),就删除它们!然后点击“开始→附件→系统工具→系统信息→工具→系统文件检查器”,在弹出的对话框中选中“从安装软盘提取一个文件(E)”,在框中填入要提取的文件(前面你删除的文件),点“确定”按钮,然后按屏幕提示将这些文件恢复即可。
假如是开机时自动运行的第三方软件如:realplay.exe、QQ、ICQ等被捆绑上了,那就得把这些文件删除,再重新安装。
二、Netspy(网络精灵)Netspy又名网络精灵,是国产木马,最新版本为3.0,默认连接端口为7306。
DLL后门完全清除rr46
DLL后门完全清除rr46DLL的防范看了上边的例子,我想大家对清除DLL后门的方法有了一定的了解,但在现实中,DLL后门并不会使用默认的文件名,所以你也就不能肯定是否中了DLL后门。
对于DLL后门,system32目录下是个好地方,大多数后门也是如此,所以这里要非常注意。
下面我来具体介绍一下怎么发现DLL后门,希望对大家有所帮助。
1,安装好系统和所有的应用程序之后,备份system32目录下的EXE和DLL文件:打开CMD,来到WINNT\system32目录下,执行:dir *.exe>exe.txt & dir *.dll>dll.txt,这样,就会把所有的EXE和DLL文件备份到exe.txt和dll.txt 文件中;日后,如发现异常,可以使用相同的命令再次备份EXE和DLL文件(这里我们假设是exe0.txt和dll0.txt),并使用:fc exe.txt exe0.txt>exedll.txt & fc dll.txt dll0.txt>exedll.txt,其意思为使用FC命令比较两次的EXE文件和DLL文件,并将比较结果保存到exedll.txt文件中。
通过这种方法,我们就可以发现多出来的EXE和DLL文件,并通过文件大小,创建时间来判断是否是DLL后门。
2,使用内存/模块工具来查看进程调用的DLL文件,比如Windows优化大师中的Windows 进程管理 2.5。
这样,可以发现进程到底调用了什么DLL文件,在结合上边用FC命令比较出来的结果,又能进一步来确定是否中了DLL后门。
如果没有优化大师,可以使用TaskList,这个小工具也可以显示进程调用的DLL文件,而且还有源代码,方便修改。
3,普通后门连接需要打开特定的端口,DLL后门也不例外,不管它怎么隐藏,连接的时候都需要打开端口。
我们可以用netstat -an来查看所有TCP/UDP端口的连接,以发现非法连接。
两种方法删除感染病毒的顽固DLL文件
计 簿 孝 与 网 络 钢 新 生 活 几
两种 方法删除 感染瘸 毒 的糠 圄 D L文律 L
D LL 文 件 是 W id w 系 统 中 ~ no s
是 否 可 以 被 程 序 调 用 、 问 。通 过 这 访
卸载” 钮。 按
种 比 较 特 殊 的 二 进 制 文 件 , 不 少 病
目 ” 面 的 钩 , 在 弹 出 的 窗 口 中 单 前 再
击 “ 除 ”最 后 单 击 “ 定 ” 删 , 确 。 这 样 就 没 有 任 何 用 户 可 以 访 问 和 调 用 这 个 D L 文 件 了 。 重 新 启 动 L 系 统 就 可 以 删 除 该 D L文 件 了 。 L
没 有 B c D oDl.I a k o r 1d1文 件 的 进 程 了 。
程 、 可 删 除 、 动 方 式 多 样 、 蔽 不 启 隐 性 高 等 特 点 。 很 多 时 候 我 们 是 通 过
杀 毒 软 件 的 提 示 知 道 某 个 DL 文 件 I 感 染 了 病 毒 ,但 不 论 是 在 杀 毒 软 件 中 选 择 删 除 该 文 件 还 是 手 工 删 除 该 文件都始终提示出错。 我 们 之 所 以 无 法 删 除 可 恶 的
1对 于 启 动 进 程 的 E E 病 毒 的 X
查 杀 在 进 程 中 可 以 发 现 的 单 进 程 E XE 病 毒 或 木 马 程 序 。 如 :v h s. sc O t e e, 有 些 杀 毒 软 件 可 以 发 现 且 可 以 x
手 工 删 除 这 里 我 们 不 需 要 下 载 任 何 工 具 , 只 要 用 Wid ws自 带 的 小 助 手 no
名 , 后 点 击 最 下 面 的 “ 索 ” 可 然 搜 即 查看到结果。
DLL木马详解
DLL木马详解一、从DLL技术说起要了解DLL木马,就必须知道这个“DLL”是什么意思,所以,让我们追溯到几年前,DOS 系统大行其道的日子里。
在那时候,写程序是一件繁琐的事情,因为每个程序的代码都是独立的,有时候为了实现一个功能,就要为此写很多代码,后来随着编程技术发展,程序员们把很多常用的代码集合(通用代码)放进一个独立的文件里,并把这个文件称为“库”(Library),在写程序的时候,把这个库文件加入编译器,就能使用这个库包含的所有功能而不必自己再去写一大堆代码,这个技术被称为“静态链接”(Static Link)。
静态链接技术让劳累的程序员松了口气,一切似乎都很美好。
可是事实证明,美好的事物不会存在太久,因为静态链接就像一个粗鲁的推销员,不管你想不想要宣传单,他都全部塞到你的手上来。
写一个程序只想用到一个库文件包含的某个图形效果,就因为这个,你不得不把这个库文件携带的所有的图形效果都加入程序,留着它们当花瓶摆设,这倒没什么重要,可是这些花瓶却把道路都阻塞了——静态链接技术让最终的程序成了大块头,因为编译器把整个库文件也算进去了。
时代在发展,静态链接技术由于天生的弊端,不能满足程序员的愿望,人们开始寻找一种更好的方法来解决代码重复的难题。
后来,Windows系统出现了,时代的分水岭终于出现。
Windows系统使用一种新的链接技术,这种被称为“动态链接”(Dynamic Link)的新技术同样也是使用库文件,微软称它们为“动态链接库”——Dynamic Link Library,DLL的名字就是这样来的。
动态链接本身和静态链接没什么区别,也是把通用代码写进一些独立文件里,但是在编译方面,微软绕了个圈子,并没有采取把库文件加进程序的方法,而是把库文件做成已经编译好的程序文件,给它们开个交换数据的接口,程序员写程序的时候,一旦要使用某个库文件的一个功能函数,系统就把这个库文件调入内存,连接上这个程序占有的任务进程,然后执行程序要用的功能函数,并把结果返回给程序显示出来,在我们看来,就像是程序自己带有的功能一样。
[揭开DLL木马神秘面纱-删除木马
[揭开DLL木马神秘面纱-删除木马揭开DLL木马神秘面纱-删除木马一、初识DLL木马首先了解一下DLL文件,DLL(Dynamic Link Library)是系统中的动态链接库文件,DLL文件本身并不能够运行,需要应用程序来调用。
当程序运行时,Windows将其装入内存中,并寻找文件中出现的动态链接库文件。
对于每个动态链接,Windows都会装入指定的DLL文件并把它映射到相应虚拟地址空间中。
DLL木马实际就是把一段实现了木马功能的代码加上一些特殊代码写成DLL文件。
DLL文件运行时是插入到应用程序的内存模块当中,所以DLL文件无法删除。
下面以一个实例说明DLL文件的运行,单击“开始→运行”并输入“rundll32.exe netplwiz.dll,UsersRunDll”,回车后会看到一个用户账户设置窗口,打开进程列表发现系统新增一个“rundll32.exe”进程,但是并不会发现DLL之类的进程,“netplwiz.dll,UsersRunDll”就是通过“rundll32.exe”来调用的,如果这是一个DLL木马,那么它启动后新增的进程就是正常的“rundll32.exe”,一般用户也不会将“rundll32.exe”中止或删除,而木马此时却可以在后台悄悄地“作恶”。
小提示当然除了用“rundll32.exe”作为载体外,DLL木马还可以通过动态嵌入技术,通过任意一个系统进程进行加载。
二、查杀方法前面介绍了DLL文件自身并不能运行,它必须通过其它程序调用才能“作恶”,主要有以下两种途径:1.通过Rundl32l.exe启动的木马木马运行如上所述,系统启动后若发现加载了“rundll32.exe”进程,那很可能就是中招了。
不过系统也会调用“rundll32.exe”来加载正常的DLL文件,主要看加载的是什么DLL文件,因为木马大多是通过注册表键值来自启动。
首先检查那些常见的自启动键值,如“3721”就是通过DLL文件来启动的,虽然它并不是木马,但是它的自启动和运行方式可以借鉴。
嵌入式dll木马的发现_清除(以Explorer中嵌入dll 木马为例)
2007·6中小学电教EasyRecoveryProfessional6.04后点击“DataRecovery”按钮,再点击右边窗口中的“EmergencyDiskette”按钮,当出现急救盘制作向导窗口后将软盘插入软驱,然后相继点击“Continue→Yes→Start→确定→Exit”等几个按钮即可完成急救盘的制作。
2.在DOS下恢复数据进入需要恢复数据的计算机的BIOS设置,将第一启动设备设置为软驱,然后利用所制作的急救盘引导系统进入DOS版的EasyRecoveryProfessional6.04。
进入主界面后,点击“Next”按钮,扫描后出现硬盘分区显示窗口,在此选中需要恢复的数据所在的硬盘分区。
点击“Next”之后进入设置窗口,可在此选择恢复的模式,一般用默认值,直接点击“Next”。
此后,软件会弹出一个提示窗口,点击“OK”进入恢复设置、选择窗口。
选中需要恢复的文件,点击下面“Destination”栏后面的“Browse”按钮,设置一个用来存放欲恢复数据的目录。
注意,不能将被恢复数据存放在数据本身所在的那个分区。
完成设置后,点击“Next”,程序会弹出一个是否保存恢复报告的提示窗口,点击“No”,程序会将选中的文件恢复到指定的位置。
DOS版的EasyRecoveryProfessional6.04没有过多的功能按钮,不论是恢复数据还是恢复误格式化分区上的数据,其操作方法都是一样的。
另外,前面说过EasyRecoveryProfessional6.04可以恢复误格式化分区上的数据,但要获得好的恢复效果,必须保证该分区在格式化之后没有再写入数据:格式化硬盘时,计算机也只是将根目录区清零。
由于删除与格式化操作只是在文件名或根目录名上做了一些手脚,对于文件的数据部分没有丝毫变动,这才给文件恢复提供了可能。
如果在删除文件之后又对磁盘进行了写操作,那么新文件有可能会覆盖被删除文件原先所占据的硬盘空间,那么该文件就不能成功地恢复了。
拯救中枪的DLL文件
拯救中枪的DLL文件一时不慎中了病毒后的第一反应往往是不分青红皂白直接打开杀毒软件将自己的硬盘扫荡一遍,虽然在杀毒软件正常运行的状态下,出现杀不掉病毒的情况已经越来越少见了。
但是随着病毒感染技术的不断翻新,成功查杀完毕并重启系统后却可能发现因为杀毒软件无差别删除了感染的dll文件而让系统造成了莫名的错误。
若是因为几个小文件出错就重装系统未免也太小题大做,但是如果放任这些奇怪的错误提示也太过讨厌,我们应该拿什么来拯救这些躺着也能中枪的dll文件呢?查看中招的dll文件系统中的dll文件被杀毒软件误杀后,通常不会像exe文件那样直观的表现出来,而是在使用相关功能时出现未知的状况,比较常见的问题如播放器无法正常加载视频、Flash页面无法被加载、浏览器无法点击打开新的页面等,而此前没有类似经历的用户总是会习惯性地检查软件自身的问题,而不会想到是系统中的dll掉了。
所以假如刚刚对系统进行全面查杀后,出现了以前从没遇到过的未知错误,最好先打开杀毒软件的清理日志检查是否有dll被强制隔离或删除(如图1),并且查询该dll文件在系统中的作用。
图1中被隔离的pnidui.dll文件是Windows 7/Vista系统中显示托盘图标的显示文件,如果将该文件彻底删除,那么无论如何设置,屏幕右下方的托盘也无法再显示网络连接的图标了(如图2)。
寻回dll文件当系统中的各类文件出现遗失或被改动的时候,最保险的办法自然是使用Windows安装盘进入系统的“故障恢复控制台”模式,将相应的文件复制到系统目录中,不过早已经习惯了图形界面的我们也许已经记不住控制台中有多少个DOS命令了。
由于dll命令被系统误杀的情况太常见了,所以网络上有许多网站专门提供系统dll文件供用户下载,不过因为不同版本号系统下的文件并不兼容,而下载网站上提供的文件信息又不是太完整,所以最好的办法是通过第三方工具来下载并修复。
比如“dll文件智能修复”就可以自动检测用户的当前系统,并且在用户输入修复的dll文件名后,即可自动连接到网络数据库中查找相应的文件进行修复(如图3)。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
DLL木马的发现与清除林廷劈(三明学院数学与计算机科学系,福建三明365004)摘要:探讨了DLL木马的危害性,提出了如何发现这种木马的方法以及清除这种新型木马的措施。
关键词:网络安全;DLL木马;发现;清除中图分类号:TP393.08文献标识号:A文章编号:1673-4343(2006)04-0439-04TheDetectionandDeletionoftheDLLTrojanHorseLINTing-pi(DepartmentofMathematicsandComputerScience,SanmingUniversity,Sanming365004,China)Abstract:ThisarticlediscussestheharmoftheDLLBackdoor,pointsouthowtodetectthebackdoorandintroducessomemethodshowtoerasethisnewtypeofbackdoor.Keywords:DLLTrojanHorse;detection;deletion引言木马在如今的网络中,是十分普遍的存在,它的危害不言而喻。
如果你家的电脑经常泄露秘密,一般都是木马的原因。
随着人们对网络安全意识的提高,对木马认识的加强,传统的木马(一个或几个可执行程序)已经很难再隐藏自己,于是出现了一种新型的木马,它就是用DLL文件做成的木马。
这种木马把自己做成一个DLL文件,然后再由某个EXE程序文件作为载体对它进行调用,或者使用RUNDLL32.EXE来启动,通过这样的技术处理,一方面不会有木马本身的进程出现,同时也实现了端口的隐藏。
因此这种木马很难被察觉,也很难清除。
本文针对DLL木马这一问题进行探讨,提出了DLL木马如何发现和清除的方法。
1木马侵入机器的途径和危害木马大多十分隐蔽,在多数情况下,很多机器都是在不知不觉中被种植了木马。
根据笔者的研究发现,木马侵入机器的途径主要有:隐藏在软件包中,一旦用户下载了一个带有木马的软件包,在机器运行安装程序时,木马就会种植在系统中;很多木马都是绑定在某个软件上的,传播木马的玩家很喜欢把木马放在FTP服务器上(或者WEB服务器),然后他会在网络中找各种机会宣传服务器的地址让用户去访问,所以用户下载文件时一定要小心提防;隐藏在带附件的邮件中,这种邮件很多,一些垃圾邮件就经常是这种类型,一旦运行了附件中的文件,那么木马就在你的机器中"安营扎寨"了;当然这种方式的传播对用户来说已经不可怕了,因为很多用户都有一定的警惕性了,不轻易运行附件就可以了;通过即时通信工具进行传播,比如对方把木马和一张很有诱惑力的图片绑在一起,通过QQ发给你,一般情况下你都会打开这图片看看,看完之后你的电脑就中招了;通过不良网站传播,这种情况最难防范,只要你的机器访问对方的网站,就等于“引狼入室”。
目前这种不良网站数量很多,可谓防不胜防。
木马一旦侵入你的系统,无异于用户的一切资料大门洞开,后患无穷,对此不能掉以轻心。
很多木马最喜欢做的事情就是收集用户各种密码,还有的专门记录用户键盘输入的字符。
许多用户认为自己安装了防火墙,也安装了杀毒软件,机器就安全了。
但是道高一尺魔高一丈,随着木马开发者不断地进行技术改进,很多木马都能绕过防火墙的拦截,国内常用的瑞星、天网、毒霸等工具都算不错的防火墙软件,但是这些工具对于木马开收稿日期:2006-08-13作者简介:林廷劈(1973-),男,福建大田人,讲师。
2006年12月第23卷第4期三明学院学报JOURNALOFSANMINGUNIVERSITYDec.2006Vol.23NO.4发者来说太熟悉了,他们轻易就能绕过这些工具的阻拦,从而进入你的系统,一旦木马进入你的系统,很多情况下会让你束手无策,因为很多工具根本无法杀除它,即使是最好的杀毒软件“卡巴斯基”也无可奈何。
于是,很多人都想到一个办法:那就是重装系统!当然,这是没办法的办法。
实际上,我们通过了解和掌握计算机网络的一些防范知识,那些木马并非无迹可寻。
2识别DLL木马的方法首先了解一下DLL文件,DLL(DynamicLinkLibrary)是系统中的动态链接库文件,DLL文件本身并不能够运行,需要应用程序来调用。
当程序运行时,Windows将其装入内存中,并寻找文件中出现的动态链接库文件。
对于每个动态链接,Windows都会装入指定的DLL文件并把它映射到相应虚拟地址空间中。
DLL木马实际就是把一段实现了木马功能的代码加上一些特殊代码写成DLL文件。
DLL文件运行时是插入到应用程序的内存模块当中,所以正在被调用中的DLL文件无法删除。
不管是何种类型的木马,它要“作恶”肯定要通过本地端口与外部电脑连接,只要查看本机开放端口和连接情况,一般就可以找出木马客户端。
查看端口和连接最简单的工具可用netstat命令(格式:netstat--an),通过这个命令可以查找到一些可疑的连接,特别要注意ESTABLISHED,它表示已经建立连接,两台机器正在通信;TIME_WAIT的意思是已经结束连接,说明端口曾经有过访问,但访问结束了;SYN_SENT是本机向其它计算机发出的连接请求,一般这个状态存在的时间很短。
令人遗憾的是,netstat这个命令并不能看到发起连接的进程。
为此,我们还需要借助其他软件的配合使用,微软有一个软件可以很好地解决这个问题,它就是PortReport这个工具,这个工具很小,可以直接到微软的官方网站免费下载,下载地址是:http://www.microsoft.com/downloads/details.aspx?familyid=69ba779b-bae9-4243-b9d6-63e62b4bcd2e&displaylang=en下载完成后,直接安装,然后要激活这项服务,右键点击我的电脑,选择“管理”,在管理窗口中选择“服务”,然后在右边窗口中就可以找到PortReport服务,点击“启动”,接下来就是查看了,找到windows\system32\Logfiles\PortReport文件夹,在这个文件夹下,可以看到三个文件:PR-PIDS-06-08-9-0-0-0.log,PR-PORTS-06-08-9-0-0-0.log和PR-INITIAL-06-08-9-0-0-0.log,这三个文件是一直在更新的,即每开机一次都会自动生成三个新的文件,这里我们要着重查看第一个文件和第三个文件,在文件中会显示出系统运行了哪些进程、访问的IP地址和端口号、以及每个进程所调用的所有DLL文件(这个最重要)等,比如winlogon.exe进程所调用的DLL文件:ProcessID:416(winlogon.exe)Usercontext:NTAUTHORITY\SYSTEMProcessdoesn'tappeartobeaservicePortStatisticsTCPmappings:0UDPmappings:0Loadedmodules:C:\WINDOWS\system32\winlogon.exe(0x01000000)C:\WINDOWS\system32\ntdll.dll(0x77F30000)C:\WINDOWS\system32\kernel32.dll(0x77E10000)C:\WINDOWS\system32\msvcrt.dll(0x77B70000)C:\WINDOWS\system32\ADVAPI32.dll(0x77D60000)C:\WINDOWS\system32\RPCRT4.dll(0x77C20000)C:\WINDOWS\system32\USER32.dll(0x77CD0000)C:\WINDOWS\system32\GDI32.dll(0x77BD0000)C:\WINDOWS\system32\USERENV.dll(0x75870000)C:\WINDOWS\system32\NDdeApi.dll(0x75710000)C:\WINDOWS\system32\CRYPT32.dll(0x760A0000)C:\WINDOWS\system32\MSASN1.dll(0x76080000)C:\WINDOWS\system32\Secur32.dll(0x76EB0000)C:\WINDOWS\system32\WINSTA.dll(0x76150000)C:\WINDOWS\system32\NETAPI32.dll三明学院学报第23卷440・・林廷劈:DLL木马的发现与清除(0x71BA0000)C:\WINDOWS\system32\PROFMAP.dll(0x75700000)C:\WINDOWS\system32\REGAPI.dll(0x76A60000)C:\WINDOWS\system32\WS2_32.dll(0x71B60000)C:\WINDOWS\system32\WS2HELP.dll(0x71B50000)C:\WINDOWS\system32\PSAPI.DLL(0x76AB0000)C:\WINDOWS\system32\VERSION.dll(0x77B60000)C:\WINDOWS\system32\SETUPAPI.dll(0x76480000)C:\WINDOWS\system32\IMM32.DLL(0x76180000)C:\WINDOWS\system32\LPK.DLL(0x63090000)C:\WINDOWS\system32\USP10.dll(0x72EE0000)C:\WINDOWS\KB684745M.LOG(0x10000000)C:\WINDOWS\system32\MSGINA.dll(0x75740000)C:\WINDOWS\system32\SHSVCS.dll(0x76A80000)C:\WINDOWS\system32\SHLWAPI.dll(0x77280000)C:\WINDOWS\system32\sfc.dll(0x76A50000)C:\WINDOWS\system32\sfc_os.dll(0x76B40000)C:\WINDOWS\system32\WINTRUST.dll(0x76B10000)C:\WINDOWS\system32\ole32.dll(0x77150000)C:\WINDOWS\system32\imagehlp.dll(0x76B70000)C:\WINDOWS\system32\apphelp.dll(0x75D60000)C:\WINDOWS\system32\msctfime.ime(0x00850000)C:\WINDOWS\WinSxS\x86_Microsoft.Windows.common-Controls_6595b64144ccf1df_6.0.100.0_x-ww_8417450B\Comctl32.dll(0x70AD0000)C:\WINDOWS\system32\WINSCARD.DLL(0x72360000)C:\WINDOWS\system32\WTSAPI32.dll(0x76E60000)C:\WINDOWS\system32\WINMM.dll(0x769E0000)C:\WINDOWS\system32\sxs.dll(0x75CA0000)C:\WINDOWS\system32\shell32.dll(0x77370000)C:\WINDOWS\system32\wldap32.dll(0x76E70000)C:\WINDOWS\system32\cscdll.dll(0x76410000)C:\WINDOWS\system32\rsaenh.dll(0x0FFD0000)C:\WINDOWS\system32\WlNotify.dll(0x75720000)C:\WINDOWS\system32\WINSPOOL.DRV(0x72F40000)C:\WINDOWS\system32\MPR.dll(0x71B30000)C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_5.82.0.0_x-ww_8A69BA05\COMCTL32.dll(0x70BC0000)C:\WINDOWS\system32\UxTheme.dll(0x71AD0000)C:\WINDOWS\system32\SAMLIB.dll(0x5D000000)C:\WINDOWS\system32\cscui.dll(0x76430000)C:\WINDOWS\system32\NTMARTA.DLL(0x76BC0000)C:\WINDOWS\system32\wdmaud.drv(0x72C40000)C:\WINDOWS\system32\OLEAUT32.dll(0x770D0000)C:\WINDOWS\system32\CLBCatQ.DLL(0x76EF0000)C:\WINDOWS\system32\COMRes.dll(0x76F70000)C:\WINDOWS\system32\msacm32.drv(0x72C30000)C:\WINDOWS\system32\MSACM32.dll第4期・・441(0x77B40000)C:\WINDOWS\system32\midimap.dll(0x77B30000)C:\WINDOWS\system32\wbem\wbemprox.dll(0x74C30000)C:\WINDOWS\system32\wbem\wbemcomn.dll(0x75030000)C:\WINDOWS\system32\wbem\wbemsvc.dll(0x74C20000)C:\WINDOWS\system32\wbem\fastprox.dll(0x75460000)C:\WINDOWS\system32\MSVCP60.dll(0x780C0000)C:\WINDOWS\system32\NTDSAPI.dll(0x76630000)C:\WINDOWS\system32\DNSAPI.dll(0x76E30000)把这些内容保存到某个文件(如t1.txt)中,如果用户对这些DLL文件不熟悉,无法判断是否为系统本身的文件,那么可以找到另一台没有“中毒”机器,通过同样的方法,导出另一个文件t2.txt,把这两个文件放在同一个文件夹下,然后利用工具FC对t1.txt和t2.txt进行比较:FCt1.txtt2.txt>t3.txt,在t3.txt文件中,可以找出哪些不同的地方,如果有DLL后门通过winlogon.exe调用的话,就可以很容易地分析出来。