清除DLL后门
DLL木马的发现与清除
DLL木马的发现与清除林廷劈(三明学院数学与计算机科学系,福建三明365004)摘要:探讨了DLL木马的危害性,提出了如何发现这种木马的方法以及清除这种新型木马的措施。
关键词:网络安全;DLL木马;发现;清除中图分类号:TP393.08文献标识号:A文章编号:1673-4343(2006)04-0439-04TheDetectionandDeletionoftheDLLTrojanHorseLINTing-pi(DepartmentofMathematicsandComputerScience,SanmingUniversity,Sanming365004,China)Abstract:ThisarticlediscussestheharmoftheDLLBackdoor,pointsouthowtodetectthebackdoorandintroducessomemethodshowtoerasethisnewtypeofbackdoor.Keywords:DLLTrojanHorse;detection;deletion引言木马在如今的网络中,是十分普遍的存在,它的危害不言而喻。
如果你家的电脑经常泄露秘密,一般都是木马的原因。
随着人们对网络安全意识的提高,对木马认识的加强,传统的木马(一个或几个可执行程序)已经很难再隐藏自己,于是出现了一种新型的木马,它就是用DLL文件做成的木马。
这种木马把自己做成一个DLL文件,然后再由某个EXE程序文件作为载体对它进行调用,或者使用RUNDLL32.EXE来启动,通过这样的技术处理,一方面不会有木马本身的进程出现,同时也实现了端口的隐藏。
因此这种木马很难被察觉,也很难清除。
本文针对DLL木马这一问题进行探讨,提出了DLL木马如何发现和清除的方法。
1木马侵入机器的途径和危害木马大多十分隐蔽,在多数情况下,很多机器都是在不知不觉中被种植了木马。
根据笔者的研究发现,木马侵入机器的途径主要有:隐藏在软件包中,一旦用户下载了一个带有木马的软件包,在机器运行安装程序时,木马就会种植在系统中;很多木马都是绑定在某个软件上的,传播木马的玩家很喜欢把木马放在FTP服务器上(或者WEB服务器),然后他会在网络中找各种机会宣传服务器的地址让用户去访问,所以用户下载文件时一定要小心提防;隐藏在带附件的邮件中,这种邮件很多,一些垃圾邮件就经常是这种类型,一旦运行了附件中的文件,那么木马就在你的机器中"安营扎寨"了;当然这种方式的传播对用户来说已经不可怕了,因为很多用户都有一定的警惕性了,不轻易运行附件就可以了;通过即时通信工具进行传播,比如对方把木马和一张很有诱惑力的图片绑在一起,通过QQ发给你,一般情况下你都会打开这图片看看,看完之后你的电脑就中招了;通过不良网站传播,这种情况最难防范,只要你的机器访问对方的网站,就等于“引狼入室”。
四招快速清除系统中的木马病毒
四招快速清除系统中的木马病毒黑客入侵后要做的事就是上传木马后门,为了能够让上传的木马不被发觉,他们会想尽种.种方法对其进行伪装。
而作为被害者,我们又该如何识破伪装,将系统中的木马统统清除掉呢!一、文件捆绑检测将木马捆绑在正常程序中,始终是木马伪装攻击的一种常用手段。
下面我们就看看如何才能检测出文件中捆绑的木马。
1.MT捆绑克星文件中只要捆绑了木马,那么其文件头特征码肯定会表现出肯定的规律,而MT捆绑克星正是通过分析程序的文件头特征码来推断的。
程序运行后,我们只要单击“扫瞄”按钮,选择需要进行检测的文件,然后单击主界面上的“分析”按钮,这样程序就会自动对添加进来的文件进行分析。
此时,我们只要查看分析结果中可执行的头部数,假如有两个或更多的可执行文件头部,那么说明此文件肯定是被捆绑过的!2.揪出捆绑在程序中的木马光检测出了文件中捆绑了木马是远远不够的,还必需请出“Fearless Bound File Detector”这样的“特工”来清除其中的木马。
程序运行后会首先要求选择需要检测的程序或文件,然后单击主界面中的“Process”按钮,分析完毕再单击“Clean File”按钮,在弹出警告对话框中单击“是”按钮确认清除程序中被捆绑的木马。
二、清除DLL类后门相对文件捆绑运行,DLL插入类的木马显的更加高级,具有无进程,不开端口等特点,一般人很难发觉。
因此清除的步骤也相对简单一点。
1.结束木马进程由于该类型的木马是嵌入在其它进程之中的,本身在进程查看器中并不会生成详细的项目,对此我们假如发觉自己系统消失特别时,则需要推断是否中了DLL木马。
在这里我们借助的是IceSword工具,运行该程序后会自动检测系统正在运行的进程,右击可疑的进程,在弹出的菜单中选择“模块信息”,在弹出的窗口中即可查看全部DLL模块,这时假如发觉有来历不明的项目就可以将其选中,然后单击“卸载”按钮将其从进程中删除。
对于一些比较顽固的进程,我们还将其中,单击“强行解除”按钮,然后再通过“模块文件名”栏中的地址,直接到其文件夹中将其删除。
干掉普通方法不易删除的恶性文件 清除系统中的DLL木马后门
掉 epoe ee 进 程 .就 可 以 顺 利 x l r x r
小 知 识
D L 入 式 木 马 L插 由于DL L文件 的 隐蔽 性 . 因此许 多流 行 的木 马 程 序都 采 用了D _ 件 的方式 进行 安装 . 木 U文 将
毒的位置及文件名。
详细 地瞧一 瞧病毒 文件 的信息 ,
以辅 助 防 火 墙 和 杀毒 软 件 更 好 地 保 护
系统 安 全 。
安 装 SS 软 件 后 ,重 启 系 统 让 M
S M 随 W i o s 同 启 动 。打 开 S M S n w 一 d S
原 来 是 位 于 系统 文 件 夹 ” \ i — C: W n
d ws s s m 2 o \ yt 3 ”下 名 为 ” ji l e r oc dl e e “
程 序 界 面 窗 口 . 择 ” 序 选 项 卡 . 选 程 这 里 列 出 了 当前 所 有 正 在运 行 的进 程
。木 马病毒藏身 D L L 文件 中. 在任 务管理器 中 可 发现 不 了,除非你 使用 一些功 能强 大的 第 三方 进程工 具 .才 能看 到各 个程序 进程 调 用的 D L 件。 L文
系 统 进 行 一 番 大 扫除 了 。
o 系统 的oL L文件感染病j 于系统 会调用 D . u 文件
由
删 除 的 。 可 以 猜测 .系统 中 的是 一 个 D L插 入 式 木 马 .但 到 底 哪 个 系 统 进 L
程 是 木 马 的 隐 身 之所 呢 7
揪 出木马 进程
hacker’s door后门程序查杀办法
图1 连接后门后利用getsysinfo命令可以查看目标机器系统信息
三、应对策略
知道hacker's
door及其工作原理,我们就可以按照以下步骤把它清除干净。
(1)查找hacker's door的文件
hacker's door在系统的存在形式是采用线程插入技术,本身没有进程。通常,我们可以轻易地找出“正在执行中的进程”,但要找出“正在执行中的线程”则不容易,因而需要通过一些杀毒或防火墙软件(如McAfee
door。
2)hacker's door服务器端的dll加载到进程中,默认的文件名是hkdoordll.dll,但在实际的加载过程中,也可改成和系统文件相似的名字,这就具有了一定的隐藏性,因此,在查找系统中哪些进程感染了hacker's
door之前,我们需要先确定加载到进程中的hacker's door服务器端文件名。
一、hacker's door(黑客之门)
hacker's
door是2004年9月份新出来的一个国产后门程序,现在已经更新至hacker's door v1.2版本,包括:服务器端文件hkdoordll.dll(应用于目标机器上的软件)、命令行客户端文件hdclient.exe、nc.exe(控制目标机器的软件)以及配置程序hdconfig.exe。hacker's
重新启动后,系统就正常了,然后再删除后门程序“hkdoordll.dll”,并采取常用的防御措施,加强系统的防御能力,hacker's
door就远离你的计算机了。
经过测试可知,上述这种方法可以适用于清除采用类似hacker’s
探讨动态链接库(DLL)的后门及防御方法
t nsc rypo l sh sbcmeam r m ot t be t f td otyo t ni . hsatl ec bst ye f i eui rbe a eo oei pr n ojc o u yw r f t t n T i rc dsr e h tpso o t m a s h ae o ie i e To nh r rg m w rsadra zt no efnt n d sr igtema P u c os a dsn nr e u e f r a os por ok n elai fh ci . eci n i A I n t n. n uu ai san mbr j e a i o t u o b h n f i z o D LT ̄ n iigm tos L r a s ln e d. kl h
G e Li ( aj gU iesyo eo at s n t nuis Naj g2 0 1) N ni nvr t f rnui dAso a t , ni 10 6 n i A ca r c n
A bsr c :W ih te c m p e nd newo k tc oog he r p d d v l p e to h c o he i c e sn h e t o i ta t t h o utra t r e hn l y,t a i e e o m n ft e ba k do roft n r a i g t r a st n—
f r t n s c rt . h u h r d u t d t e b c o rt o k i t h d a o y a c l k l r  ̄. O t a h r a e n o ma i e u y T e a t o sa i se h a k d o o lo n o t e i e f d n mi i i a S h t e e c n b o o i a n b t p o e s n p n p dse e, h sa h e ig a p o e s h o th d e ,S h a k d o L— a e r v n in a d i fr — r c s , O o e o t . t u c iv n r c s ,t e p r i d n O t e b c o r DL b s d p e e t n n o ma o
删除eDellRoot后门方法
删除eDellRoot后门方法(出品:戴尔官方翻译:小伶gaga)戴尔官方发布了一份手册,向用户说明了删除后门的方法:一、自动删除:下载戴尔官方补丁,点击执行即可:下载补丁。
二、手动删除1.在桌面上点击鼠标右键,选择打开任务管理器。
2.在任务管理器界面选择服务子菜单。
3.点击服务子菜单底下的服务选项。
4.查找带有“Dell Foundation Services”字样的行,并选中。
5.点击停止此服务。
6.点击停止服务后,服务窗口应该如下界面所示。
7.打开文件浏览器,输入地址:“c:\Program Files\Dell\Dell Foundation Services”然后删除“Dell.Foundation.Agent.Plugins.eDell.dll”文件。
8.此时会弹出窗口,点击“继续”按钮删除文件。
9.在键盘上按下带有() 图标的按键,在出来的窗口中输入“certmgr.msc”并按回车确定。
a.Windows 7上是这样的界面:b.Windows 8.1上是这样的界面:c.Windows 10上是这样的界面:10.此时,如果跳出窗口询问是否允许程序执行,点击“是”允许即可。
11.跳出证书管理界面后,点开受信任的根证书颁发机构子菜单,并双击证书文件夹展开。
12.选中eDellRoot证书。
13.点击工具栏上的红色X按钮删除证书。
警告!请再三确认您删除的是“eDellRoot”证书。
错删其他的证书可能会导致您的系统出现异常。
14.弹出窗口让您确定是否删除“eDellRoot”,选择“是”。
15.删除后,证书即在界面上消失,如下图。
16.返回服务窗口,选中带有“Dell Foundation Services”字样的行,点击启动此服务。
17.关掉所有刚才打开的窗口。
18.至此eDellRoot已经从您的电脑上删除了。
DLL后门完全清除方法
1,PortLess BackDoor
这是一款功能非常强大的DLL后门程序,除了可以获得Local System权限的Shell之外,还支持如"检测克隆帐户""安装终端服务"等一系列功能(具体可以参见程序帮助),适用Windows2000/xp/2003等系统。程序使用svchost.exe来启动,平常不开端口,可以进行反向连接(最大的特点哦),对于有防火墙的主机来说,这个功能在好不过了。
注册表的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost,里边存放着Svchost启动的组和组内的各个服务,其中netsvcs组的服务最多。要使用Svchost启动某个服务,则该服务名就会出现在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost下。这里有四种方法来实现:
(3),动态嵌入式
这才是DLL后门最常用的方法。其意义是将DLL文件嵌入到正在运行的系统进程当中。在Windows系统中,每个进程都有自己的私有内存空间,但还是有种种方法来进入其进程的私有内存空间,来实现动态嵌入式。由于系统的关键进程是不能终止的,所以这类后门非常隐蔽,查杀也非常困难。常见的动态嵌入式有:"挂接API""全局钩子(HOOK)""远程线程"等。
好了,我想大家看完了上边的原理,一定可以想到我们清除PortLess BackDoor的方法了,对,就是在注册表的Svchost键下做文章。好,我们现在开始。
注:由于本文只是介绍清除方法,使用方法在此略过。
清除dll高手必备
DLL是系统中一种比较特殊的的文件类型,用于病毒木马的制作可以达到无进程,不可删除,启动方式多样,隐蔽性高等优点很多时候我们是通过杀毒软件的提示知道感染了木马病毒比如杀毒软件对“BackDoorDll.dll”文件进行报警,但这里不论是选择删除或是手工删除都始终提示出错,之所以无法删除可恶的DLL文件,是因为它依附到了其它进程之中,而这些进程的存在也使得DLL病毒正处于运行之中,所以要想删除它必须先把被病毒依附的进程结束停止了,那如何才能做到呢?下面教大家两个简单快速的方法:一,赤手空拳:这里我们不需要下载任何工具,只要用WINDOWS自带的小助手即可。
首先点击开始菜单,选择“运行”,输入“CMD”,在打开的CMD窗口中输入命令“tasklist /m BackDoorDll.dll”效果如图:这条命令是意思是检测指定名字的文件被哪些进程所调用,从结果可以看出原来DLL病毒文件插入到了进程iexplore.exe 中,此进程ID为3240,那我们现在关闭改进程,用命令taskkill /f /PID 3240,它的意思是强行终止ID号为3240的进程当然也可以用任务管理器结束。
好啦,结束了该进程,病毒BackDoorDll.dll没了依靠,就可以直接去删除它了。
这也只是简单的处理方法,如果BackDoorDll.dll病毒依附到多个进程中只要一个一个进程的结束就可以了,不过这样也会有个小麻烦,就是万一病毒程序随时监控各个进程,一旦发现某个进程被结束就立刻再次插入或被插入的是系统必需进程,无法被结束或会引起系统崩溃怎么办呢?别担心,我们继续请出WINDOWS自带的助手,就是利用NTFS分区格式的文件限制功能,可以设置某个文件是否可以被程序调用访问等。
通过这个功能,我们一样可以阻止病毒DLL文件被调用,从而彻底地清除DLL病毒。
双击打开“我的电脑”,点击菜单命令“工具”→“文件夹选项”→“查看”,在高级设置的选项卡下去掉“简单文件共享”的选择。
DLL病毒的常用3种清除方法总结
DLL病毒的常用3种清除方法总结单独编写的DLL文件病毒:这类病毒是最容易被清除的DLL病毒,其原理也非常简单。
病毒作者编写一个DLL文件,然后通过注册表的Run键值或者其他可以被系统加载的地方启动。
替换系统文件的DLL病毒:病毒作者把病毒代码做成一个和系统匹配的DLL文件,并把原来的DLL文件改名。
遇到应用程序请求原来的DLL文件时,DLL病毒就启一个转发的作用,把“参数”传递给原来的DLL文件。
通过偷梁换柱的方法,DLL病毒堂而皇之的在用户电脑中活动。
动态嵌入式DLL病毒:这类病毒,可以在系统进程运行的时候,通过一些方法,进入系统的进程中。
由于系统进程无法终止,动态嵌入式的DLL病毒很难清除。
下面,我们以臭名昭著的守护者(NOIRQUEEN)DLL木马为例,介绍一下DLL病毒的清除方法。
守护者(NOIRQUEEN)会以DLL文件的形式插入到系统的进程中,由于是系统的关键进程,不能被终止。
这种情况下,我们必须查找守护者的Loader。
使用“进程猎手”工具查看Lsass进程所调用的DLL文件,并与感染病毒前的信息比较,可以发现Lsass进程中增加了“”文件。
通过操作系统自带的文件搜索功能,查找到了文件,这就是守护者的Loader。
感染了守护者病毒,在任务管理器中会有一个进程,强制结束这个进程。
并在“服务”选项中,找到该项服务,并将其禁用。
利用注册表中的查找服务,查找“QoSserver”关键字,并且将其键值逐一删除。
所有操作完成之后,重新启动计算机,然后逐一检查守护者是否被清理干净。
这样,我们就可以手工清除DLL病毒。
由于DLL病毒类型不同,其清除方法也有所差异。
不过,其步骤都是相同的,先用工具软件查找DLL病毒的Loader,然后针对具体情况采取不同的措施清除病毒。
DLL病毒的清理相当的复杂,而且一些比较顽固的DLL病毒,一次很难清理干净。
对于一些隐蔽性非常强的DLL病毒,杀毒软件没有查杀能力,必须采用特殊的清除方法来清除。
清除无用的DLL文件
清除无用的DLL文件
DLL,即Dynamic Link Library,也就是应用程序拓展,在windows中运行程序的时候会减少系统资源,有些程序即使把资源关闭,在内存中还是会运行着一些无用的DLL文件,会使系统的运行速度下降,甚至出现系统资源严重不足的情况,小编通过带领大家修改注册表键值,在关闭软件之后自动清除内存中无用的DLL文件,从而收回消耗的系统资源。
设置自动清除内存中没用的DLL文件的方法:按下【WIN+R】组合键,调出运行窗口,然后输入regedit,按下【确定】按钮,打开注册表编辑器,展开“HKEY_LOCAL_MACHINE\SOFTWARE\microsoft\Windows\CurrentVersion\Explor er”,在右侧的窗格中新建一个字符串值,命名为“AlwaysUnloadDLL”,右击,修改其数值数据为“1”即可,关闭注册表编辑器,重启计算机后生效。
删除Dll文件的方法
在使用电脑时,会安装大量的软件,用过以后,如果之后不再用了,就会卸载删除,节约磁盘的空间,也会加快电脑的运行速度。
但是,卸载这个软件时,一般只会卸载安装文件夹的文件,其它安装在系统中的DLL动态链接库文件是不会删除的,时间长了,会累积大量无用的DLL文件,既占用磁盘,也影响速度,当然要清除这些无用的DLL文件,下面教大家如何清除这些残留的DLL文件。
删除无用DLL文件方法之一:注册表手动删除1.第一种方法就是直接手动删除DLL动态链接文件,怎样找到这些无用的DLL 文件呢,当然只有进入注册表才能找到。
进入注册表方法,从“开始”菜单中,打开运行程序,然后在运行窗口中,输入regedit命令,按确定。
2.进入注册表编辑器后,选择“HKEY_LOCAL_MACHINE”这一根键项。
3.然后按“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shared Dlls”此路径,定位于SharedDLLs项。
4.在右侧窗口的,找到数据为0的项,如果被遮挡了,看不到数据,可以把窗口调整一下。
5.然后选择数据为0的这一项,双击,查看这一项的路径,也就是“数值名称”这项。
记下后,直接右键删除此项。
6.然后按记下的路径,找到这个文件夹,再从这个文件夹中找到这个DLL文件,再将它删除掉,如果还有其它DLL残留文件,按以上方法反复清理,手动删除就完成了。
删除无用DLL方法之二:软件清理1.如果用手动方法清理,会很麻烦,一般人了人也做不到,最好的方法是用软件来清理,又方便又安全,这样的软件有很多,下面以忧化大师为例,先打开忧化大师,然后选择左侧的“系统清理”这一项。
2.打开“系统清理”后,再从子项中选择“冗余DLL清理”,再到右侧,选择一个磁盘,一般DLL冗余文件都在C盘,所以勾选C,再按“分析”按钮。
3.经过一定时间的扫描分析后,就能找出无用的DLL动态链接库文件,如果系统比较新,找出无用的DLL文件就比较少,我的系统只安装了几天,所以只找到了两个,如果用的久,肯定会找出很多,找到后,按“全部删除”按钮进行清除。
各种后门的检测与清除方法
首先我们要认识一下什么是后门程序?在网络上常见的对“后门”的解释,其实我们可以用很简单的一句话来概括它:后门就是留在计算机系统中,供某位特殊使用都通过某种特殊方式控制计算机系统的途径!!——很显然,掌握好后门技术是每个网络安全爱好者不可或缺的一项基本技能!它能让你牢牢抓住肉鸡,让它永远飞不出你的五指山!正因如此所以后门技术与反后门的检测技术也成为了黑客攻防战的焦点。
正所谓知己知彼,百战不殆。
要了解反后门技术那么我们就要更多的深入去学习与了解后门知识。
后门的分类后门可以按照很多方式来分类,标准不同自然分类就不同,为了便于大家理解,我们从技术方面来考虑后门程序的分类方法:前面讲了这么多理论知识是不是觉得有点头大了呢?下面我们来讲讲一些常见的后门工具吧1.网页后门此类后门程序一般都是服务器上正常的web服务来构造自己的连接方式,比如现在非常流行的ASP、cgi脚本后门等。
典型后门程序:海洋顶端,红粉佳人个人版,后来衍生出来很多版本的这类网页后门,编写语言asp,aspx,jsp,php的都有种类比较繁多。
2.线程插入后门利用系统自身的某个服务或者线程,将后门程序插入到其中,这种后门在运行时没有进程,所有网络操作均播入到其他应用程序的进程中完成。
典型后门程序:代表BITS,还有我在安全焦点上看到的xdoor(首款进程插入后门)也属于进程插入类后门。
3.扩展后门所谓的扩展后门,在普通意义上理解,可以看成是将非常多的功能集成到了后门里,让后门本身就可以实现很多功能,方便直接控制肉鸡或者服务器,这类的后门非常受初学者的喜爱,通常集成了文件上传/下载、系统用户检测、HTTP访问、终端安装、端口开放、启动/停止服务等功能,本身就是个小的工具包,功能强大。
典型后门程序:Wineggdroup shell4.C/S后门这个后门利用ICMP通道进行通信,所以不开任何端口,只是利用系统本身的ICMP包进行控制安装成系统服务后,开机自动运行,可以穿透很多防火墙——很明显可以看出它的最大特点:不开任何端口~只通过ICMP控制!和上面任何一款后门程序相比,它的控制方式是很特殊的,连80端口都不用开放,不得不佩服务程序编制都在这方面独特的思维角度和眼光.典型后门程序:ICMP Door5.root kit好多人有一个误解,他们认为rootkit是用作获得系统root访问权限的工具。
DLL后门完全清除rr46
DLL后门完全清除rr46DLL的防范看了上边的例子,我想大家对清除DLL后门的方法有了一定的了解,但在现实中,DLL后门并不会使用默认的文件名,所以你也就不能肯定是否中了DLL后门。
对于DLL后门,system32目录下是个好地方,大多数后门也是如此,所以这里要非常注意。
下面我来具体介绍一下怎么发现DLL后门,希望对大家有所帮助。
1,安装好系统和所有的应用程序之后,备份system32目录下的EXE和DLL文件:打开CMD,来到WINNT\system32目录下,执行:dir *.exe>exe.txt & dir *.dll>dll.txt,这样,就会把所有的EXE和DLL文件备份到exe.txt和dll.txt 文件中;日后,如发现异常,可以使用相同的命令再次备份EXE和DLL文件(这里我们假设是exe0.txt和dll0.txt),并使用:fc exe.txt exe0.txt>exedll.txt & fc dll.txt dll0.txt>exedll.txt,其意思为使用FC命令比较两次的EXE文件和DLL文件,并将比较结果保存到exedll.txt文件中。
通过这种方法,我们就可以发现多出来的EXE和DLL文件,并通过文件大小,创建时间来判断是否是DLL后门。
2,使用内存/模块工具来查看进程调用的DLL文件,比如Windows优化大师中的Windows 进程管理 2.5。
这样,可以发现进程到底调用了什么DLL文件,在结合上边用FC命令比较出来的结果,又能进一步来确定是否中了DLL后门。
如果没有优化大师,可以使用TaskList,这个小工具也可以显示进程调用的DLL文件,而且还有源代码,方便修改。
3,普通后门连接需要打开特定的端口,DLL后门也不例外,不管它怎么隐藏,连接的时候都需要打开端口。
我们可以用netstat -an来查看所有TCP/UDP端口的连接,以发现非法连接。
清除DLL后门
清除DLL后门
王小斌
【期刊名称】《网管员世界》
【年(卷),期】2010(000)016
【摘要】由于DLL木马是内嵌在进程中的,因此对于进程管理器来说是隐藏的,我们既不能用进程管理器来查找,也无法直接将它停止运行,必须寻求其他方法来解决它。
【总页数】1页(P37-37)
【作者】王小斌
【作者单位】江苏
【正文语种】中文
【中图分类】TP311
【相关文献】
1.探讨动态链接库(DLL)的后门及防御方法 [J], 张磊
2.谨防沦为DLL后门木马及其变种的肉鸡 [J],
3.想走后门?没门!--常见后门伪装、检测、防范技巧大揭密:清除网络红蚂蚁[J],
4.想走后门?没门!--常见后门伪装、检测、防范技巧大揭密:后门检测清除技巧[J], 王小斌
5.干掉普通方法不易删除的恶性文件清除系统中的DLL木马后门 [J], 逍遥浪子因版权原因,仅展示原文概要,查看原文内容请购买。
电脑病毒后门病毒的解放方法介绍
电脑病毒后门病毒的解放方法介绍假如你的电脑中了电脑病毒后门病毒,你该怎么办!让电脑瘫痪吗!下面由店铺给你做出详细的电脑病毒后门病毒的解放方法介绍!希望对你有帮助!欢迎回访店铺网站,谢谢!电脑病毒后门病毒的解放方法介绍:清除编辑所有IRC后门病毒都会在注册表HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentV ersion/Run下添加自己的启动项,并且项值只有文件名,不带路径,这给了我们提供了追查的线索。
通过下面几步我们可以安全的清除掉IRC病毒。
1、打开注册表编辑器,定位到HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentV ersion/Run项,找出可疑文件的项目。
2、打开任务管理器(按Alt+Ctrl+Del或在任务栏单击鼠标右键,选择“任务管理器”),找到并结束与注册表文件项相对应的进程。
若进程不能结束,则可以切换到安全模式进行操作。
进入安全模式的方法是:启动计算机,在系统进入Windows启动画面前,按下F8键(或者在启动计算机时按住Ctrl键不放),在出现的启动选项菜单中,选择“Safe Mode”或“安全模式”。
3、接着打开“我的电脑”,在“工具”菜单下选择“文件夹选项”,选择“显示所有文件”,然后点击“确定”。
再进入系统文件夹,找出可疑文件并将它转移或删除,到这一步病毒就算清除了。
4、最后可手工把注册表里病毒的启动项清除,也可使用瑞星注册表修复工具清除。
1、建立良好的安全习惯。
不要轻易打开一些来历不明的邮件及其附件,不要轻易登陆陌生的网站。
从网上下载的文件要先查毒再运行。
2、关闭或删除系统中不需要的服务。
默认情况下,操作系统会安装一些辅助服务,如FTP客户端、Telnet和Web服务器。
这些服务为攻击者提供了方便,而又对大多数用户没有用。
删除它们,可以大大减少被攻击的可能性。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
清除DLL后门------DLL后门清除完全篇前言后门!相信这个词语对您来说一定不会陌生,它的危害不然而欲,但随着人们的安全意识逐步增强,又加上杀毒软件的“大力支持”,使传统的后门无法在隐藏自己,任何稍微有点计算机知识的人,都知道“查端口”“看进程”,以便发现一些“蛛丝马迹”。
所以,后门的编写者及时调整了思路,把目光放到了动态链接程序库上,也就是说,把后门做成DLL文件,然后由某一个EXE做为载体,或者使用Rundll32.exe来启动,这样就不会有进程,不开端口等特点,也就实现了进程、端口的隐藏。
本文以“DLL的原理”“DLL的清除”“DLL的防范”为主题,并展开论述,旨在能让大家对DLL后门“快速上手”,不在恐惧DLL后门。
好了,进入我们的主题。
一,DLL的原理1,动态链接程序库动态链接程序库,全称:Dynamic Link Library,简称:DLL,作用在于为应用程序提供扩展功能。
应用程序想要调用DLL文件,需要跟其进行“动态链接”;从编程的角度,应用程序需要知道DLL文件导出的API函数方可调用。
由此可见,DLL文件本身并不可以运行,需要应用程序调用。
正因为DLL文件运行时必须插入到应用程序的内存模块当中,这就说明了:DLL文件无法删除。
这是由于Windows内部机制造成的:正在运行的程序不能关闭。
所以,DLL后门由此而生!2,DLL后门原理及特点把一个实现了后门功能的代码写成一个DLL文件,然后插入到一个EXE文件当中,使其可以执行,这样就不需要占用进程,也就没有相对应的PID号,也就可以在任务管理器中隐藏。
DLL文件本身和EXE文件相差不大,但必须使用程序(EXE)调用才能执行DLL文件。
DLL文件的执行,需要EXE文件加载,但EXE想要加载DLL文件,需要知道一个DLL文件的入口函数(既DLL文件的导出函数),所以,根据DLL文件的编写标准:EXE必须执行DLL文件中的DLLMain()作为加载的条件(如同EXE的mian())。
做DLL后门基本分为两种:1)把所有功能都在DLL文件中实现;2)把DLL做成一个启动文件,在需要的时候启动一个普通的EXE后门。
常见的编写方法:(1),只有一个DLL文件这类后门很简单,只把自己做成一个DLL文件,在注册表Run键值或其他可以被系统自动加载的地方,使用Rundll32.exe来自动启动。
Rundll32.exe是什么?顾名思意,“执行32位的DLL文件”。
它的作用是执行DLL文件中的内部函数,这样在进程当中,只会有Rundll32.exe,而不会有DLL后门的进程,这样,就实现了进程上的隐藏。
如果看到系统中有多个Rundll32.exe,不必惊慌,这证明用Rundll32.exe启动了多少个的DLL文件。
当然,这些Rundll32.exe执行的DLL文件是什么,我们都可以从系统自动加载的地方找到。
现在,我来介绍一下Rundll32.exe这个文件,意思上边已经说过,功能就是以命令行的方式调用动态链接程序库。
系统中还有一个Rundll.exe文件,他的意思是“执行16位的DLL文件”,这里要注意一下。
在来看看Rundll32.exe使用的函数原型:V oid CALLBACK FunctionName (HWND hwnd,HINSTANCE hinst,LPTSTR lpCmdLine,Int nCmdShow);其命令行下的使用方法为:Rundll32.exe DLLname,Functionname [Arguments]DLLname为需要执行的DLL文件名;Functionname为前边需要执行的DLL文件的具体引出函数;[Arguments]为引出函数的具体参数。
(2),替换系统中的DLL文件这类后门就比上边的先进了一些,它把实现了后门功能的代码做成一个和系统匹配的DLL 文件,并把原来的DLL文件改名。
遇到应用程序请求原来的DLL文件时, DLL后门就启一个转发的作用,把“参数”传递给原来的DLL文件;如果遇到特殊的请求时(比如客户端),DLL后门就开始,启动并运行了。
对于这类后门,把所有操作都在DLL文件中实现最为安全,但需要的编程知识也非常多,也非常不容易编写。
所以,这类后门一般都是把DLL文件做成一个“启动”文件,在遇到特殊的情况下(比如客户端的请求),就启动一个普通的EXE 后门;在客户端结束连接之后,把EXE后门停止,然后DLL文件进入“休息”状态,在下次客户端连接之前,都不会启动。
但随着微软的“数字签名”和“文件恢复”的功能出台,这种后门已经逐步衰落。
提示:在WINNT\system32目录下,有一个dllcache文件夹,里边存放着众多DLL文件(也包括一些重要的EXE文件),在DLL文件被非法修改之后,系统就从这里来恢复被修改的DLL 文件。
如果要修改某个DLL文件,首先应该把dllcache目录下的同名DLL文件删除或更名,否则系统会自动恢复。
(3),动态嵌入式这才是DLL后门最常用的方法。
其意义是将DLL文件嵌入到正在运行的系统进程当中。
在Windows系统中,每个进程都有自己的私有内存空间,但还是有种种方法来进入其进程的私有内存空间,来实现动态嵌入式。
由于系统的关键进程是不能终止的,所以这类后门非常隐蔽,查杀也非常困难。
常见的动态嵌入式有:“挂接API”“全局钩子(HOOK)”“远程线程”等。
远程线程技术指的是通过在一个进程中创建远程线程的方法来进入那个进程的内存地址空间。
当EXE载体(或Rundll32.exe)在那个被插入的进程里创建了远程线程,并命令它执行某个DLL文件时,我们的DLL后门就挂上去执行了,这里不会产生新的进程,要想让DLL后门停止,只有让这个链接DLL后门的进程终止。
但如果和某些系统的关键进程链接,那就不能终止了,如果你终止了系统进程,那Windows也随即被终止!!!3,DLL后门的启动特性启动DLL后门的载体EXE是不可缺少的,也是非常重要的,它被称为:Loader。
如果没有Loader,那我们的DLL后门如何启动呢?因此,一个好的DLL后门会尽力保护自己的Loader 不被查杀。
Loader的方式有很多,可以是为我们的DLL后门而专门编写的一个EXE文件;也可以是系统自带的Rundll32.exe,即使停止了Rundll32.exe,DLL后门的主体还是存在的。
3721网络实名就是一个例子,虽然它并不是“真正”的后门。
二,DLL的清除本节以三款比较有名的DLL后门例,分别为“SvchostDLL.dll”“BITS.dll”“QoServer.dll”。
详细讲解其手工清除方法。
希望大家在看过这三款DLL后门的清除方法之后,能够举一反三,灵活运用,在不惧怕DLL后门。
其实,手工清除DLL后门还是比较简单的,无非就是在注册表中做文章。
具体怎么做,请看下文。
1,PortLess BackDoor这是一款功能非常强大的DLL后门程序,除了可以获得Local System权限的Shell之外,还支持如“检测克隆帐户”“安装终端服务”等一系列功能(具体可以参见程序帮助),适用Windows2000/xp/2003等系统。
程序使用svchost.exe来启动,平常不开端口,可以进行反向连接(最大的特点哦),对于有防火墙的主机来说,这个功能在好不过了。
在介绍清除方法之前,我们先来简单的介绍一下svchost.exe这个系统的关键服务:Svchost只是做为服务的宿主,本身并不实现什么功能,如果需要使用Svchost来启动服务,则某个服务是以DLL形式实现的,该DLL的载体Loader指向svchost,所以,在启动服务的时候由svchost调用该服务的DLL来实现启动的目的。
使用svchost启动某个服务的DLL 文件是由注册表中的参数来决定的,在需要启动服务的下边都有一个Parameters子键,其中的ServiceDll表明该服务由哪个DLL文件负责,并且这个DLL文件必须导出一个ServiceMain()函数,为处理服务任务提供支持。
呵呵!看了上边的理论,是不是有点蒙(我都快睡着了),别着急,我们来看看具体的内容(如图1)。
从图1中,我们可以看到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs下的Parameters子键,其键值为%SystemRoot%\system32\rpcss.dll。
这就说明:启动RpcSs服务时。
Svchost调用WINNT\system32目录下的rpcss.dll。
在来看看图2,这是注册表的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost,里边存放着Svchost启动的组和组内的各个服务,其中netsvcs 组的服务最多。
要使用Svchost启动某个服务,则该服务名就会出现在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost下。
这里有四种方法来实现:1,添加一个新的组,在组里添加服务名2,在现有组里添加服务名3,直接使用现有组里的一个服务名,但是本机没有安装的服务4,修改现有组里的现有服务,把它的ServiceDll指向自己的DLL后门我测试的PortLess BackDoor使用的第三种方法。
好了,我想大家看完了上边的原理,一定可以想到我们清除PortLess BackDoor的方法了,对,就是在注册表的Svchost键下做文章。
好,我们现在开始。
注:由于本文只是介绍清除方法,使用方法在此略过。
后门的Loader把SvchostDLL.dll插入Svchost进程当中,所以,我们先打开Windows优化大师中的Windows进程管理2.5,查看Svchost进程中的模块信息(如图3),从图3中我们可以看到,SvchostDLL.dll已经插入到Svchost进程中了,在根据“直接使用现有组里的一个服务名,但是本机没有安装的服务”的提示,我们可以断定,在“管理工具”—“服务”中会有一项新的服务。
图4证明了我的说法,此服务名称为:IPRIP,由Svchost启动,-k netsvcs 表示此服务包含在netsvcs服务组中。
我们把该服务停掉,然后打开注册表编辑器(开始—运行--regedit),来到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPRIP下,查看其Parameters 子键(如图5)。