DLL木马是依靠DLL文件来作恶的

关于动态嵌入式DLL木马病毒的发现及清除43399小游戏/随着MS的操作系统从Win98过渡到Winnt系统（包括2k/xp），MS的任务管理器也一下子脱胎换骨，变得火眼金睛起来（在WINNT下传统木马再也无法隐藏自己的进程），这使得以前在win98下靠将进程注册为系统服务就能够从任务管理器中隐形的木马面临前所未有的危机，所以木马的开发者及时调整了开发思路，所以才会有今天这篇讨论如何清除动态嵌入式DLL 木马的文章。

首先，我们来了解一下什么是动态嵌入式木马，为了在NT系统下能够继续隐藏进程，木马的开发者们开始利用DLL（Dynamic Link Library动态链接库）文件，起初他们只是将自己的木马写成DLL形式来替换系统中负责Win Socket1.x的函数调用wsock32.dll（Win Socket2中则由WS2_32.DLL负责），这样通过对约定函数的操作和对未知函数的转发（DLL 木马替换wsock32.dll时会将之更名，以便实现日后的函数转发）来实现远程控制的功能。

但是随着MS数字签名技术和文件恢复功能的出台，这种DLL马的生命力也日渐衰弱了，于是在开发者的努力下出现了时下的主流木马－－动态嵌入式DLL木马，将DLL木马嵌入到正在运行的系统进程中.explorer.exe、svchost.exe、smss.exe等无法结束的系统关键进程是DLL 马的最爱，这样这样在任务管理器里就不会出现我们的DLL文件，而是我们DLL的载体EXE 文件.当然通过进一步的加工DLL木马还可以实现另外的一些如端口劫持/复用（也就是所谓的无端口）、注册为系统服务、开多线程保护、等功能。

简而言之，就是DLL木马达到了前所未有的隐蔽程度。

那么我们如何来发现并清除DLL木马呢？一，从DLL木马的DLL文件入手，我们知道system32是个捉迷藏的好地方，许多木马都削尖了脑袋往那里钻，DLL马也不例外，针对这一点我们可以在安装好系统和必要的应用程序后，对该目录下的EXE和DLL文件作一个记录：运行CMD--转换目录到system32--dir *.exe>exeback.txt& dir *.dll>dllback.txt，这样所有的EXE和DLL文件的名称都被分别记录到exeback.txt和dllback.txt中，日后如发现异常但用传统的方法查不出问题时，则要考虑是不是系统中已经潜入DLL木马了.这是我们用同样的命令将system32下的EXE和DLL文件记录到另外exeback1.txt和dllback1.txt中，然后运行CMD--fc exeback.txt exeback1.txt>diff.txt & fc dllback.txt dllback1.txt>diff.txt.（用FC命令比较前后两次的DLL和EXE文件，并将结果输入到diff.txt中），这样我们就能发现一些多出来的DLL和EXE文件，然后通过查看创建时间、版本、是否经过压缩等就能够比较容易地判断出是不是已经被DLL木马光顾了。

黑客是如何骗取你执行木马的如今大多数上网的朋友警惕性都很高，想骗取他们执行木马是件很困难的事，因为木马出现这么久，木马两个字听得人们耳朵都长出了老茧，可说是谈"马"色变，即使不是电脑高手都知道，一见到是exe 文件便不会轻易"招惹"它，因而中标的机会也就相对减少了。

对于此，黑客们是不会甘于寂寞的，在黑客的世界里挑战与刺激才是他们趋之若婺的。

1、冒充为图像文件首先，黑客最常使用骗别人执行木马的方法，就是将特洛伊木马说成为图像文件，比如说是照片等，应该说这是一个最不合逻辑的方法，但却是最多人中招的方法，有效而又实用。

只要入侵者扮成美眉及更改服务器程序的文件名(例如sam.exe )为"类似"图像文件的名称，再假装传送照片给受害者，受害者就会立刻执行它。

为甚么说这是一个不合逻辑的方法呢？图像文件的扩展名根本就不可能是exe，而木马程序的扩展名基本上又必定是exe ，明眼人一看就会知道有问题，多数人在接收时一看见是exe文件，便不会接收了，那有什么方法呢? 其实方法很简单，他只要把文件名改变，例如把"sam.exe" 更改为"sam.jpg" ，那么在传送时，对方只会看见sam.jpg 了，而到达对方电脑时，因为windows 默认值是不显示扩展名的，所以很多人都不会注意到扩展名这个问题，而恰好你的计算机又是设定为隐藏扩展名的话，那么你看到的只是sam.jpg 了，受骗也就在所难免了!还有一个问题就是，木马本身是没有图标的，而在电脑中它会显示一个windows 预设的图标，别人一看便会知道了！但入侵者还是有办法的，这就是给文件换个"马甲"，即修改文件图标。

修改文件图标的方法如下:1 . 比如到 下载一个名为IconForge 的软件，再进行安装。

2 . 执行程序，按下File > Open3 . 在File Type 选择exe 类4 . 在File > Open 中载入预先制作好的图标( 可以用绘图软件或专门制作icon 的软件制作，也可以在网上找找) 。

电脑病毒常识：木马病毒的类型木马(Trojan),也称木马病毒，是指通过特定的程序(木马程序)来控制另一台计算机。

木马通常有两个可执行程序：一个是控制端，另一个是被控制端。

以下是店铺给大家整理的电脑病毒常识：木马病毒的类型，希望能帮到你!电脑病毒常识：木马病毒的种类1、破坏型惟一的功能就是破坏并且删除文件，可以自动的删除电脑上的DLL、INI、EXE文件。

2、密码发送型可以找到隐藏密码并把它们发送到指定的信箱。

有人喜欢把自己的各种密码以文件的形式存放在计算机中，认为这样方便;还有人喜欢用WINDOWS 提供的密码记忆功能，这样就可以不必每次都输入密码了。

许多黑客软件可以寻找到这些文件，把它们送到黑客手中。

也有些黑客软件长期潜伏，记录操作者的键盘操作，从中寻找有用的密码。

在这里提醒一下，不要认为自己在文档中加了密码而把重要的保密文件存在公用计算机中，那你就大错特错了。

别有用心的人完全可以用穷举法暴力破译你的密码。

利用WINDOWS API函数EnumWindows和EnumChildWindows对当前运行的所有程序的所有窗口(包括控件)进行遍历，通过窗口标题查找密码输入和出确认重新输入窗口，通过按钮标题查找我们应该单击的按钮，通过ES_PASSWORD查找我们需要键入的密码窗口。

向密码输入窗口发送WM_SETTEXT消息模拟输入密码，向按钮窗口发送WM_COMMAND消息模拟单击。

在破解过程中，把密码保存在一个文件中，以便在下一个序列的密码再次进行穷举或多部机器同时进行分工穷举，直到找到密码为止。

此类程序在黑客网站上唾手可得，精通程序设计的人，完全可以自编一个.3、远程访问型最广泛的是特洛伊马，只需有人运行了服务端程序，如果客户知道了服务端的IP地址，就可以实现远程控制。

以下的程序可以实现观察"受害者"正在干什么，当然这个程序完全可以用在正道上的，比如监视学生机的操作。

程序中用的UDP(User Datagram Protocol，用户报文协议)是因特网上广泛采用的通信协议之一。

dll注入应急案例近年来，随着网络攻击手法的不断更新和演进，DLL注入攻击作为一种有效的攻击技术不断被黑客和恶意分子滥用。

本文将通过一则DLL注入应急案例，探讨该攻击技术的特点、危害性以及应对措施，以提高读者对这一威胁的认识和应对能力。

案例描述某公司近期发现其内部计算机系统出现异常情况，怀疑系统被黑客入侵并进行恶意活动。

经过调查，安全团队发现系统中的某个进程被恶意DLL注入修改，从而导致黑客可以远程操控该进程，并获取系统权限。

DLL注入攻击原理DLL注入攻击是指黑客将恶意动态链接库（DLL）注入到目标进程的内存空间中，以获取目标进程的控制权，从而进行恶意行为。

攻击者通常通过以下几种方式进行DLL注入：1. 远程线程注入：攻击者通过远程线程注入的方式，将恶意DLL 注入到目标进程所在的远程线程中，实现攻击目的。

2. 进程空间注入：攻击者通过进程空间注入的方式，将恶意DLL 注入到目标进程的内存空间中，绕过系统的安全机制。

3. 代码注入：攻击者通过修改目标进程的代码，将DLL加载并执行，实现攻击目的。

DLL注入攻击的危害性DLL注入攻击具有以下危害性：1. 获取系统权限：通过DLL注入攻击，黑客可以获取目标进程的控制权，进而获取系统权限，导致系统完全被黑客控制。

2. 数据泄露：黑客可以利用DLL注入攻击，获取系统中的敏感信息，如用户账号、密码等，进而进行个人信息泄露、商业机密窃取等违法行为。

3. 恶意启动：黑客可以利用DLL注入攻击，在目标进程中启动恶意代码，如勒索软件、恶意挖矿程序等，进一步损害系统正常运行。

应对措施针对DLL注入攻击，我们可以采取以下措施进行应对：1. 加强系统安全性：及时安装系统补丁，强化系统防火墙和安全策略，减少系统漏洞。

2. 使用可信的安全软件：选择正规的安全软件，如防病毒软件、入侵检测系统等，并及时更新和升级。

3. 强化访问控制：限制用户权限，合理划分角色，及时删除不必要的用户账号，防止恶意用户进行攻击。

查看文章DLL木马编写2009年03月24日星期二 16:49以下是我曾经贴在黑客吧的关于自己编写DLL木马的文章，因为没人看，我觉得是不是别人理解不了，所以贴你这交流一下，里面肯定有很多错误，希望你能多多指教！~今天先说说怎样用VC++制作一个属于自己的DLL TDM（木马）。

我写它的目的是让大家了解DLL木马的运行参数，为日后的网络安全出一份自己的力。

※本人警告：请不要利用它做任何违法的事。

一经发现，后果自负！一.DLL木马简介:DLL全称：Dynamic Link Lidrary,动态链接程序库。

DLL的格式和EXE相同，但不能直接执行，它是一个把代码封存在自己内部的程序，只提供函数接口让外面的EXE程序调用。

DLL导出函数在DLL导出表中，DLL 作者会通过文档让其他人知道导出函数的完整功能、参照格式、返回值等信息，便于其他程序员使用自己实现的函数；如他不想公开一些函数，简单的不在文档中提及就可以了；但这样难不倒真正感兴趣的人，比如Windows就有很多未公开的DLL导出函数，高手们利用查看导出表和反编译的手段，得到了很多Windows 的尚未公开的但很有用的导出函数，《Undocumented Winddows A P I》就是一本经典的书籍，全是微软未公开的函数，被系统研究者们奉为圣经！当然，本人还稍微欠缺点火候，也只有简单的TDM和hacker软制作，呵呵！因为DLL文件本身并不可以运行，需要应用程序调用，加载的是到应用程序的内存中，所以运行DLL函数的时候，不会看到DLL的进程，而DLL文件在使用，又无法用普通方法删除（具体删除方法我会在以后有时间的情况下讲解的），所以对隐蔽性、抗删除性有有特殊要求的TDM有很大的吸引力。

DLL木马逐渐成为现在主流的木马编写方式。

二.普通DLL程序的编写：(1)1.打开VC新建一个工程，选择Win32 Dynamic-Link Library工程，即Win32 DLL 工程。

木马病毒的工作原理
木马病毒是一种恶意软件，通过伪装成正常的程序或文件，悄悄地侵入计算机系统，然后进行各种恶意活动。

木马病毒的工作原理如下：
1. 伪装：木马病毒通常伪装成合法、有吸引力的文件或程序，比如游戏、应用程序、附件等。

用户误以为它们是正常的文件，从而下载、安装或打开它们。

2. 入侵：一旦用户执行了木马病毒，它会开始在计算机系统中执行。

木马病毒通常利用系统漏洞或安全弱点，通过各种方式渗透计算机系统，比如通过网络连接、邮件附件、插入可移动存储设备等。

3. 操作控制：一旦木马病毒成功入侵，黑客就可以获取对该计算机的远程控制权限。

黑客可以通过远程命令控制木马病毒执行各种恶意活动，比如窃取用户敏感信息、监控用户活动、劫持计算机资源等。

4. 数据盗窃：木马病毒可以通过键盘记录、屏幕截图、摄像头监控等方式获取用户的敏感信息，比如账号密码、银行信息、个人隐私等。

这些信息被黑客用于非法活动，比如盗用用户账号、进行网络钓鱼、进行网络诈骗等。

5. 破坏和传播：除了窃取信息，木马病毒还可能被黑客用于多种恶意用途。

它们可以删除、修改或破坏计算机上的文件和系统设置，导致系统崩溃或数据丢失。

木马病毒还可以充当“下
载器”，从远程服务器下载其他恶意软件，继续对计算机系统
进行攻击，或者利用计算机系统作为“僵尸网络”中的一员，传播垃圾邮件、进行分布式拒绝服务攻击等。

总结起来，木马病毒工作原理是通过伪装和入侵获取远程控制权限，然后执行各种恶意活动，包括窃取用户信息、破坏系统、传播其他恶意软件等。

用户应采取安全措施，比如安装防病毒软件、保持系统更新、谨慎下载和打开文件，以防止木马病毒的入侵。

我知道你想留但是我想赶你走——DLL木马的查杀手记平淡
【期刊名称】《电脑应用文萃》
【年(卷),期】2005(000)012
【摘要】OLL（Dynamic Link Librery）是系统中的动态链接库文件．它本身并不能够运行．而是需要应用程序来调用，而DLL木马实际是把一段实现木马功能的代码写成DLL文件。

由于DLL文件运行时是插入到应用程序的内存模块当中。

所以DLL文件无法删除。

倒如“ersRunDli”是通过
“rundl132.exe”来调用的，
【总页数】2页(P46-47)
【作者】平淡
【作者单位】无
【正文语种】中文
【中图分类】TP316.7
【相关文献】
1.防范木马铭记在心——木马变种智能查杀 [J], 张涌金;
2.小妮学木马查杀隐藏的木马 [J], Fooying
3.你想跟谁走——大学生从众、随大流现象面面观 [J], 黄进
4.专业木马查杀工具反木马卫士 [J],
5.免费而强大的木马查杀工具——木马专家 [J],
因版权原因，仅展示原文概要，查看原文内容请购买。

dll注入方式总结-回复Dll（Dynamic Link Library）注入是一种常见的软件开发技术，它允许程序将外部动态链接库加载到自己的进程空间中，并在运行时调用其中的函数和资源。

在某些情况下，恶意软件和黑客也会利用Dll注入的方式来实施攻击，以绕过安全措施并进行恶意行为。

本文将详细介绍Dll注入的原理和常见的注入方式，并讨论如何防御和检测这些注入攻击。

一、Dll注入的原理为了更好地理解Dll注入，首先需要了解动态链接库（DLL）的概念。

DLL 是一种可重用的共享库，其中包含了一组函数、数据和资源，可以被多个程序共享和调用。

相比于静态链接库，DLL的主要优势是节省系统资源和简化软件的维护。

在正常情况下，一个程序需要使用某个DLL中的函数或资源时，它会在程序启动时加载该DLL，并将其中的函数和资源映射到进程的内存空间中，从而使得该程序可以调用并使用DLL中的内容。

这个过程通常是由操作系统的动态链接器（如Windows系统中的"kernel32.dll"）负责完成的。

而Dll注入则是指将一个外部DLL文件加载到一个已经运行的程序的进程空间中，并把其中的函数和资源映射到该进程的内存中。

通过这种方式，注入的DLL可以在原本不具备某些功能或权限的进程中执行代码，从而扩展或修改该进程的行为。

二、常见的Dll注入方式1. 远程线程注入（Remote Thread Injection）远程线程注入是一种最基本和常见的Dll注入方式。

它利用CreateRemoteThread函数在目标进程中创建一个远程线程，并将注入的DLL地址作为线程函数的入口点，从而实现注入。

2. 进程挂钩注入（Process Hijacking）进程挂钩注入是一种比较高级的Dll注入技术，它利用系统中的API挂钩机制，通过修改目标进程的函数地址表或设置钩子函数，使得目标进程在某个特定条件下执行注入的DLL。

3. 进程注入(APC Injection)进程注入又称为异步过程调用（Asynchronous Procedure Call）注入。

D L L技术木马进程内幕大揭密Revised by Petrel at 2021很多朋友还是不知道“DLL木马”是什么东东。

那到底什么是“DLL木马”呢它与一般的木马又有什么不同带着这些疑问，一起开始这次揭密之旅吧！一、追根溯源从DLL说起要了解什么是“DLL木马”，就必须知道“DLL”是什么意思！说起DLL，就不能不涉及到久远的DOS时代。

在DOS大行其道的时代，写程序是一件繁琐的事情，因为每个程序的代码都是需要独立的，这时为了实现一个普通的功能，甚至都要为此编写很多代码。

后来随着编程技术发展与进步，程序员们开始把很多常用的代码集合（也就是通用代码）放进一个独立的文件里，并把这个文件称为“库”（Library）。

在写程序的时候，把这个库文件加入编译器，就能使用这个库包含的所有功能而不必自己再去写一大堆代码，这个技术被称为“静态链接”（Static Link）。

静态链接技术让劳累的程序员松了口气，一切似乎都很美好。

然而静态链接技术的最大缺陷就是极度消耗和浪费资源，当一个程序只想用到一个库文件包含的某个图形效果时，系统将把这个库文件携带的所有的图形效果都加入程序，这样就使得程序非常臃肿。

虽然这并不重要，可是这些臃肿的程序却把道路都阻塞了——静态链接技术让最终的程序成了大块头，因为编译器把整个库文件都加载进去了。

技术永远是在发展的，静态链接技术由于无法避免的弊端，不能满足程序员和编程的需要，人们开始寻找一种更好的方法来解决代码重复的难题。

随着Windows系统的出现， Windows系统使用一种被称为“动态链接库”（Dynamic LinkLibrary）的新技术，它同样也是使用库文件，DLL的名字就是这样来的。

动态链接本身和静态链接没什么区别，也是把通用代码写进一些独立文件里，但是在编译方面，微软把库文件做成已经编译好的程序文件，给它们开发一个交换数据的接口。

程序员编写程序的时候，一旦要使用某个库文件的一个功能函数，系统就把这个库文件调入内存，连接上这个程序占有的任务进程，然后执行程序要用的功能函数，并把结果返回给程序显示出来。

电脑中的木马病毒如何彻底查杀电脑中的木马病毒如何彻底查杀在用电脑的过程中，经常会遇到一些木马病毒，中病毒后，很多人都会表示用电脑杀毒软件杀毒就可以了，还有一些人在使用杀毒软件后发现，病毒在重启电脑之后又再次出现了，那么怎么样才能彻底查杀电脑中的木马病毒呢?下面和大家分享一些方法。

一、文件捆绑检测将木马捆绑在正常程序中，一直是木马伪装攻击的一种常用手段。

下面我们就看看如何才能检测出文件中捆绑的木马。

1.MT捆绑克星文件中只要捆绑了木马，那么其文件头特征码一定会表现出一定的规律，而MT捆绑克星正是通过分析程序的文件头特征码来判断的。

程序运行后，我们只要单击“浏览”按钮，选择需要进行检测的文件，然后单击主界面上的“分析”按钮，这样程序就会自动对添加进来的文件进行分析。

此时，我们只要查看分析结果中可执行的头部数，如果有两个或更多的可执行文件头部，那么说明此文件一定是被捆绑过的!2.揪出捆绑在程序中的木马光检测出了文件中捆绑了木马是远远不够的，还必须请出“Fearless Bound File Detector”这样的“特工”来清除其中的木马。

程序运行后会首先要求选择需要检测的程序或文件，然后单击主界面中的“Process”按钮，分析完毕再单击“Clean File”按钮，在弹出警告对话框中单击“是”按钮确认清除程序中被捆绑的木马。

二、清除DLL类后门相对文件捆绑运行，DLL插入类的木马显的更加高级，具有无进程，不开端口等特点，一般人很难发觉。

因此清除的步骤也相对复杂一点。

1.结束木马进程由于该类型的木马是嵌入在其它进程之中的，本身在进程查看器中并不会生成具体的项目，对此我们如果发现自己系统出现异常时，则需要判断是否中了DLL木马。

在这里我们借助的是IceSword工具，运行该程序后会自动检测系统正在运行的进程，右击可疑的进程，在弹出的菜单中选择“模块信息”，在弹出的窗口中即可查看所有DLL模块，这时如果发现有来历不明的项目就可以将其选中，然后单击“卸载”按钮将其从进程中删除。

dll劫持原理DLL 劫持，也称为 DLL 劫持攻击，是一种恶意攻击，它利用Windows 系统在加载 DLL 文件时的一些漏洞，从而迫使系统加载恶意DLL 文件，达到控制计算机系统或者窃取数据等目的。

在这篇文章中，我们将详细介绍 DLL 劫持的原理及其防范措施。

1. DLL 劫持的原理在 Windows 系统中，DLL 是一个重要的系统组件，它包含一些可与其他程序相互共用的函数、类和变量等资源。

一些程序依赖于某些 DLL 文件，而 Windows 系统在加载这些 DLL 文件时，会先在应用程序所在的目录中搜索这些文件，如果找到了就直接加载，否则再从系统目录中搜索。

这就是 DLL 劫持的漏洞利用点。

攻击者可以将一个恶意的 DLL文件命名为与某个应用程序需要的 DLL 文件相同的名称，然后将其放置在应用程序所在的目录中，这样，当应用程序启动时，Windows 系统会优先加载这个恶意的 DLL 文件。

随后，恶意代码就可以进入系统，获取权限并执行攻击者指定的操作。

2. DLL 劫持的步骤下面我们将详细介绍 DLL 劫持的攻击步骤：1）攻击者制作一个恶意的 DLL 文件，并将其命名为与目标应用程序依赖的 DLL 文件名称相同，例如 kernel32.dll。

2）攻击者将这个恶意 DLL 文件放置在应用程序所在的目录中，或者是在环境变量 PATH 指定的目录中。

3）当应用程序启动并执行代码时，Windows 系统会搜索与其依赖的 DLL 相关的路径，然后发现恶意 DLL，进而加载它。

4）恶意 DLL 被加载后，攻击者就可以利用它来控制系统或进行信息窃取等攻击。

3. DLL 劫持的防范措施为了防止 DLL 劫持攻击，以下是一些有效的防范措施：1）升级系统和软件保持系统和软件的最新版本能够有效地提高其安全性。

因为更新版本通常会修复先前版本中存在的一些漏洞和问题，从而减少攻击者利用系统和软件的漏洞的几率。

2）限制应用程序访问DLL文件可以通过在 Windows 系统中设置文件和文件夹的访问权限，从而限制应用程序对某些 DLL 文件的访问。

DLL木马详解一、从DLL技术说起要了解DLL木马，就必须知道这个“DLL”是什么意思，所以，让我们追溯到几年前，DOS 系统大行其道的日子里。

在那时候，写程序是一件繁琐的事情，因为每个程序的代码都是独立的，有时候为了实现一个功能，就要为此写很多代码，后来随着编程技术发展，程序员们把很多常用的代码集合（通用代码）放进一个独立的文件里，并把这个文件称为“库”（Library），在写程序的时候，把这个库文件加入编译器，就能使用这个库包含的所有功能而不必自己再去写一大堆代码，这个技术被称为“静态链接”（Static Link）。

静态链接技术让劳累的程序员松了口气，一切似乎都很美好。

可是事实证明，美好的事物不会存在太久，因为静态链接就像一个粗鲁的推销员，不管你想不想要宣传单，他都全部塞到你的手上来。

写一个程序只想用到一个库文件包含的某个图形效果，就因为这个，你不得不把这个库文件携带的所有的图形效果都加入程序，留着它们当花瓶摆设，这倒没什么重要，可是这些花瓶却把道路都阻塞了——静态链接技术让最终的程序成了大块头，因为编译器把整个库文件也算进去了。

时代在发展，静态链接技术由于天生的弊端，不能满足程序员的愿望，人们开始寻找一种更好的方法来解决代码重复的难题。

后来，Windows系统出现了，时代的分水岭终于出现。

Windows系统使用一种新的链接技术，这种被称为“动态链接”（Dynamic Link）的新技术同样也是使用库文件，微软称它们为“动态链接库”——Dynamic Link Library，DLL的名字就是这样来的。

动态链接本身和静态链接没什么区别，也是把通用代码写进一些独立文件里，但是在编译方面，微软绕了个圈子，并没有采取把库文件加进程序的方法，而是把库文件做成已经编译好的程序文件，给它们开个交换数据的接口，程序员写程序的时候，一旦要使用某个库文件的一个功能函数，系统就把这个库文件调入内存，连接上这个程序占有的任务进程，然后执行程序要用的功能函数，并把结果返回给程序显示出来，在我们看来，就像是程序自己带有的功能一样。

应对DLL木马攻击之乱
周勇生
【期刊名称】《网络运维与管理》
【年(卷),期】2014(000)024
【摘要】俗话说“阳光总与黑影相伴”，在上网访问日益便捷的今天，黑客攻击技术也在不断成熟。

黑客为了让远程控制更隐蔽，经常会使用十分流行的DLL注入木马作为主要攻击手段，以躲避防火墙和杀毒软件的拦截。

通过对普通DLL木马的进一步加工，黑客还能开启多线程保护、进行端口劫持复用。

总之，DLL木马攻击的隐蔽程度已经达到了前所未有的境地。

那么，怎样才能应对DLL木马攻击之乱呢？本文将教您几招儿实用的应对之策，快来学习一下吧。

【总页数】3页(P103-105)
【作者】周勇生
【作者单位】江苏
【正文语种】中文
【中图分类】TP311
【相关文献】
1.木马程序的攻击方法及反木马程序的对策 [J], 胡庆国
2.DLL木马清除全攻略（上） [J], 郭建伟;
3.DLL木马清除全攻略（下） [J], 郭建伟;
4.木马攻击方式的分析与应对 [J], 唐毅
5.木马疯狂，我冷静！——由“网络蚂蚁”网站受攻击瞧木马 [J], 朱长庆
因版权原因，仅展示原文概要，查看原文内容请购买。

[揭开DLL木马神秘面纱-删除木马揭开DLL木马神秘面纱-删除木马一、初识DLL木马首先了解一下DLL文件，DLL(Dynamic Link Library)是系统中的动态链接库文件，DLL文件本身并不能够运行，需要应用程序来调用。

当程序运行时，Windows将其装入内存中，并寻找文件中出现的动态链接库文件。

对于每个动态链接，Windows都会装入指定的DLL文件并把它映射到相应虚拟地址空间中。

DLL木马实际就是把一段实现了木马功能的代码加上一些特殊代码写成DLL文件。

DLL文件运行时是插入到应用程序的内存模块当中，所以DLL文件无法删除。

下面以一个实例说明DLL文件的运行，单击“开始→运行”并输入“rundll32.exe netplwiz.dll,UsersRunDll”，回车后会看到一个用户账户设置窗口，打开进程列表发现系统新增一个“rundll32.exe”进程，但是并不会发现DLL之类的进程，“netplwiz.dll,UsersRunDll”就是通过“rundll32.exe”来调用的，如果这是一个DLL木马，那么它启动后新增的进程就是正常的“rundll32.exe”，一般用户也不会将“rundll32.exe”中止或删除，而木马此时却可以在后台悄悄地“作恶”。

小提示当然除了用“rundll32.exe”作为载体外，DLL木马还可以通过动态嵌入技术，通过任意一个系统进程进行加载。

二、查杀方法前面介绍了DLL文件自身并不能运行，它必须通过其它程序调用才能“作恶”，主要有以下两种途径:1.通过Rundl32l.exe启动的木马木马运行如上所述，系统启动后若发现加载了“rundll32.exe”进程，那很可能就是中招了。

不过系统也会调用“rundll32.exe”来加载正常的DLL文件，主要看加载的是什么DLL文件，因为木马大多是通过注册表键值来自启动。

首先检查那些常见的自启动键值，如“3721”就是通过DLL文件来启动的，虽然它并不是木马，但是它的自启动和运行方式可以借鉴。

DLL病毒的常用3种清除方法总结单独编写的DLL文件病毒：这类病毒是最容易被清除的DLL病毒，其原理也非常简单。

病毒作者编写一个DLL文件，然后通过注册表的Run键值或者其他可以被系统加载的地方启动。

替换系统文件的DLL病毒：病毒作者把病毒代码做成一个和系统匹配的DLL文件，并把原来的DLL文件改名。

遇到应用程序请求原来的DLL文件时，DLL病毒就启一个转发的作用，把“参数”传递给原来的DLL文件。

通过偷梁换柱的方法，DLL病毒堂而皇之的在用户电脑中活动。

动态嵌入式DLL病毒：这类病毒，可以在系统进程运行的时候，通过一些方法，进入系统的进程中。

由于系统进程无法终止，动态嵌入式的DLL病毒很难清除。

下面，我们以臭名昭著的守护者(NOIRQUEEN)DLL木马为例，介绍一下DLL病毒的清除方法。

守护者(NOIRQUEEN)会以DLL文件的形式插入到系统的进程中，由于是系统的关键进程，不能被终止。

这种情况下，我们必须查找守护者的Loader。

使用“进程猎手”工具查看Lsass进程所调用的DLL文件，并与感染病毒前的信息比较，可以发现Lsass进程中增加了“”文件。

通过操作系统自带的文件搜索功能，查找到了文件，这就是守护者的Loader。

感染了守护者病毒，在任务管理器中会有一个进程，强制结束这个进程。

并在“服务”选项中，找到该项服务，并将其禁用。

利用注册表中的查找服务，查找“QoSserver”关键字，并且将其键值逐一删除。

所有操作完成之后，重新启动计算机，然后逐一检查守护者是否被清理干净。

这样，我们就可以手工清除DLL病毒。

由于DLL病毒类型不同，其清除方法也有所差异。

不过，其步骤都是相同的，先用工具软件查找DLL病毒的Loader，然后针对具体情况采取不同的措施清除病毒。

DLL病毒的清理相当的复杂，而且一些比较顽固的DLL病毒，一次很难清理干净。

对于一些隐蔽性非常强的DLL病毒，杀毒软件没有查杀能力，必须采用特殊的清除方法来清除。

暗渡陈仓的DLL木马提到木马，想必大家是再熟悉不过了。

但是要说到DLL 木马，可能还有很多朋友不甚了解。

DLL木马到底是什么，它有何种功能，对我们的系统会造成何种危害，如何防范它?本文将为你揭开谜底。

我们平时所见到的木马大多都是可执行文件，这些木马在系统中隐藏自己的本领有限，很容易暴露。

而DLL木马则不同，它只有一个文件，依靠动态链接程序库，由某一个EXE 做为载体，或者使用RunDLL32．exe来肩动，插入到系统进程中，以达到隐藏自身的目的。

因此DLL木马在隐藏技术上比普通小马有了质的飞跃，当然危害性也就大大增加了。

下面就让我们通过一款DLL木马“bits”来了解如何防护和清除DLL木马。

什么是DLL木马DLL(Dynamic Link Library)即系统的动态链接库文件。

DLL 文件本身不可以运行，需要应用程序调用。

当程序运行时，Windows将DLL文件装入内存中，开寻找文件中出现的动态链接库文件。

DLL木马实际就是把一段实现了木马功能的代码加上一些特殊代码写成DLL文件，我们知道正在运行的程序是不能被关闭的，而DLL木码插入到一个正在运行的应用程序内存模块中，因此同样死法删除，这就是DLL木马的高明之处。

DLL木马的危害DLL木马的危害主要分为两方面：一是隐蔽性，由于它可以“寄宿”丁任一应用程序的进程(包括系统进程)，因此我们很难发现木马的存在；二是难删除，上文中我们提到被DLL木马插入的进程是无法结束的，因此要想清除它并不容易。

下面结合实例来看看DLL木马的使用和运作过程。

bits 是一款著名的DLL木马，具备了DLL木马的所有特点，没有进程，也不开肩端口，隐蔽性很强。

bits只有一个DLL文件“bits．dll”，运行命令“RUNDLL32．exe bits．dll，install”即可让bits进驻系统。

假设运行bits的计算机IP地址为192．168．0．1，黑客可以使用一款网络工具“no”，在命令提示符中运行它后输入命令“nc 192．168．0．180”，回车后会发现没有回显，此时再输入“123456@dancewithdolphin[xell]：777”才能命令bits。