动态嵌入式DLL木马简便发现与清除方法

• 　　首先，我们来了解一下什么是动态嵌入式木马，为了在NT系统下能够继续隐藏进程，木马的开发者们开始利用DLL(Dynamic Link Library动态链接库)文件，起初他们只是将自己的木马写成DLL形式来替换系统中负责Win Socket1.x的函数调用wsock32.dll(Win Socket2中则由WS2_32.DLL负责)，这样通过对约定函数的操作和对未知函数的转发(DLL木马替换wsock32.dll时会将之更名，以便实现日后的函数转发)来实现远程控制的功能。但是随着MS数字签名技术和文件恢复功能的出台，这种DLL马的生命力也日渐衰弱了，于是在开发者的努力下出现了时下的主流木马--动态嵌入式DLL木马,将DLL木马嵌入到正在运行的系统进程中.explorer.exe、svchost.exe、smss.exe等无法结束的系统关键进程是DLL马的最爱，这样这样在任务管理器里就不会出现我们的DLL文件，而是我们DLL的载体EXE文件.当然通过进一步的加工DLL木马还可以实现另外的一些如端口劫持/复用(也就是所谓的无端口)、注册为系统服务、开多线程保护、等功能。简而言之，就是DLL木马达到了前所未有的隐蔽程度。

  　　那么我们如何来发现并清除DLL木马呢?

  　　一，从DLL木马的DLL文件入手，我们知道system32是个捉迷藏的好地方，许多木马都削尖了脑袋往那里钻，DLL马也不例外，针对这一点我们可以在安装好系统和必要的应用程序后，对该目录下的EXE和DLL文件作一个记录:运行CMD--转换目录到system32--dir *.exe>exeback.txt& dir *.dll>dllback.txt,这样所有的EXE和DLL文件的名称都被分别记录到exeback.txt和dllback.txt中,日后如发现异常但用传统的方法查不出问题时,则要考虑是不是系统中已经潜入DLL木马了.这是我们用同样的命令将system32下的EXE和DLL文件记录到另外的exeback1.txt和dllback1.txt中,然后运行CMD--fc exeback.txt exeback1.txt>diff.txt & fc dllback.txt dllback1.txt>diff.txt.(用FC命令比较前后两次的DLL和EXE文件,并将结果输入到diff.txt中),这样我们就能发现一些多出来的DLL和EXE文件,然后通过查看创建时间、版本、是否经过压缩等就能够比较容易地判断出是不是已经被DLL木马光顾了。没有是最好，如果有的话也不要直接DLL掉，我们可以先把它移到回收站里，若系统没有异常反应再将之彻底删除或者提交给杀毒软件公司。

  　　二、上文也曾提到一些系统关键进程是这类木马的最爱，所以一旦我们怀疑系统已经进驻了DLL木马，我们当然要对这些关键进程重点照顾了，怎么照顾?这里推荐一个强大的脱壳工具工具Procedump.exe他可以帮您看出进程到底调用了那些DLL文件(如图1)但是由于有的进程调用的DLL文件非常多，使得靠我们自己去一个核对变的不太现实，所以我们会用到一个shotgun写的NT进程/内存模块查看器ps.exe，用命令ps.exe /a /m >nowdlls.txt将系统目前调用地所有DLL文件地名称保存到nowdlls.txt，然后我们再用fc将之于事先备份dllback.txt比较一下，这样也能够缩小排查范围。

  　　三、还记得木马的特征之一端口么?所有的木马只要进行连接，只要它接受/发送数据则必然会打开端口，DLL木马也不例外，这也为我们发现他们提供了一条线索，我们可以使用foundstone的进程端口查看工具Fport.exe来查看与端口对应的进程,这样可以将范围缩小到具体的进程,然后结合Procedump来查找DLL木马就比较容易了.当然有如上文提到的有些木马会通过端口劫持或者端口重用的方法来进行通信,139、80、1443、等常见端口则是木马的最爱。因为即使即使用户使用端口扫描软件检查自己的端口，发现的也是类似TCP UserIP:1026　ControllerIP:80ESTABLISHED 的情况，稍微疏忽一点，您就会以为是自己在浏览网页(防火墙也会这么认为的)。所以光看端口还不够，我们要对端口通信进行监控，这就是第四点要说的。

• [1] [2] 下一页 
• 复制本页网址和标题，发送给你QQ/Msn的好友一起分享
  
  
• 动态嵌入式DLL木马简便发现与清除方法 相关文章：
• ·Vista系统实现自动关机技巧
• ·Flash制作交互动画教程 星座查询器
• ·小技巧让你轻松DIY你的网页滚动条
• ·Coreldraw结合 R.A.V.E 制作动画
• ·动态加载外部css或js文件
• ·怎么样清除能突破主动防御的新型木马
• ·Flash与Photoshop合作制作模糊渐变动画
• ·再谈用Flash引导线制作爱心图案动画
• ·Flash用鼠标控制图片移动效果动画教程
• ·Flash引导线制作爱心图案动画
• 动态嵌入式DLL木马简便发现与清除方法 相关软件
• ·《黑名单上的人》05蘑菇行动（198303版）
• ·《黑名单上的人》01特别行动小组（198208版）
• ·《彩虹岛》1.13升级至1.14手动更新补丁
• ·《动物丛林》小游戏
• ·动脑筋爷爷8
• ·动脑筋爷爷7
• ·动脑筋爷爷6
• ·动脑筋爷爷5
• ·动脑筋爷爷4
• ·动脑筋爷爷3

上一篇:电脑初学者学习如何手工检测电脑病毒

下一篇:网络工程师详解安全漏洞的形成与防范

• 特别声明：本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载，但请务必注明出处和原始作
• 者.文章版权归文章原始作者所有.对于被本站转载文章的个人和网站，我们表示深深的谢意。如果本站转
• 载的文章有版权问题请联系编辑人员,我们尽快予以更正. 转载请注明来源：http://www.hackhome.com

精品推荐

热点TOP10

特别推荐