论文部分内容阅读
如果你常看我们的病毒播报栏目,一定会在很多木马,病毒的介绍中看到“使用了线程插入技术”这类的描述,这个线程插入技术就是现在木马隐藏自身的常用手段之一。
在Window$文件大家族中,DLL是比较特殊的一种类型,它不是可执行文件,却可以完成可执行文件的功能。正是由于这种特特殊,越来越多的木马制造者把目光瞄上了DLL文件。
DLL木马的恶行
DLL木马通过其他进程调用(比如rundll32.exe,常常导致误杀“忠良”),或者插入关键系统进程(比如插入Winlongon.exe,导致无法删除或强行终止进程后当机)。由于DLL木马隐藏在幕后作恶,这给系统安全带来很大的威胁。笔者近日就中招一个DLL木马,下面将查杀经验与大家分享。
1.杀毒报警,木马惊现
近日在一次例行的安全扫描中,笔者安装的Avast!突然发出报警声,程序提示发现“c:Windowssystem32 undll.dll”木马,单击“删除”,杀毒软件提示无法删除病毒。
打开任务管理器,没有发现异常进程,找那个文件,删除时系统提示“文件正在使用,无法删除”。很明显,这就是一个插入了正常进程的DLL木马。
2.自己动手,揪出宿主进程
在系统中无法删除文件,大多数的原因是由于当前文件正被使用。DLL木马文件无法删除,显然是由于其插入系统进程所致。到底是哪个进程被注入木马?笔者借助系统自带的Tasklist命令查找。单击“开始一运行”,输入“emd.exe”打开命令行窗口。输入“tasklist/m>k:dll.txt”(不含外双引号,下同),这个命令的作用是将当前活动进程加载的DLLl文件列表列出,同时输出到k:dll.txt中。
启动记事本程序,打开“k:dll.txt”,单击菜单栏的“编辑→查找”,输入杀毒软件提示的病毒文件“rundll.dll”,单击“查找下一个”按钮后,我们可以发现系统的桌面进程(explorer.exe)加载了木马文件。也就是说木马插入了桌面进程。
3.卸载DLL杀木马
知道被注入的宿主进程后,我们可以使用“Inject DLL"将注入的DLI,文件卸载,从而删除木马文件。
Inject DLL是个命令行卸载工具(下载地址h11p://wor.knewhua.com/pcd),下载后将文件解压到k:,启动命令提示符后,输入“idu exploreEexe rundll.d11/e”,当系统提示“DLL Jection suoessful!”,表示程序成功卸载DLL文件,现在就可以进入c:Windowssystem32,把DLL木马文件删除。
有些DLL木马还有一个监视进程,一旦发现注入的DLL木马被卸载,它会立刻重新插入。因此,当我们利用“InjectDLL”卸载木马后,如果仍然无法删除文件时,一定要打开任务管理器查看是否有异常监视进程。
像木马—样去战斗
除了DLL木马外,由于DLL文件的特殊性,一些应用软件也会借助DLL文件完成自身功能,可不要错杀此类文件哦。下面,我们介绍两个与隐身木马采用同样工作方式的实用工具。
1.资源管理侧边栏插件FindeXer
它是只有一个DLL文件的资源管理器侧边栏插件,先到微软官方下载网站(http://www.microsoft.com/downloads)通过搜索下载“MicrosoftVisualC十十2005 Redistributable Package(x86)”并安装好。然后到http://tomseffectcom/LessClix/FmdeXer/FmdeXer%20Nightly%20V1.1.0.30zip下载FindeXer运行其中的Register.bal注册Findexer.DLL文件。
现在,启动资源管理器,在菜单栏选择“查看→浏览器栏→FindeXer”,我们就可以在资源管理器打开一个新的侧边栏使用。
如果要卸载它,只要在开始菜单的运行框输入“regsvr32/u FindeXer.dll”卸载DLL文件即可。
2.让日期显示农历插件Winkld
这是一个可以让系统时间显示农历、天气预报插件。到http://work.newhua.com/pcd下载dll并复制到“c:Windowssystem32”,单击“开始→运行”,输入“regsvr32s WinKld.dll”,重启系统后双击托盘中的系统时间,我们就看到显示的农历了,切换到“天气”标签,选择自已的城市还可以显示天气预报。卸载则输入“regsvr32/uWinKldll”命令。
大家可以看到,在运行这类DLL程序时,我们都要先用regsvr32.exe来加载。regsvr32.exe是32位系统下使用的DLL注册和反注册工具,使用它必须通过命令行的方式,通常可以用来加载一些系统控件,有时也用于修复系统故障。
在Window$文件大家族中,DLL是比较特殊的一种类型,它不是可执行文件,却可以完成可执行文件的功能。正是由于这种特特殊,越来越多的木马制造者把目光瞄上了DLL文件。
DLL木马的恶行
DLL木马通过其他进程调用(比如rundll32.exe,常常导致误杀“忠良”),或者插入关键系统进程(比如插入Winlongon.exe,导致无法删除或强行终止进程后当机)。由于DLL木马隐藏在幕后作恶,这给系统安全带来很大的威胁。笔者近日就中招一个DLL木马,下面将查杀经验与大家分享。
1.杀毒报警,木马惊现
近日在一次例行的安全扫描中,笔者安装的Avast!突然发出报警声,程序提示发现“c:Windowssystem32 undll.dll”木马,单击“删除”,杀毒软件提示无法删除病毒。
打开任务管理器,没有发现异常进程,找那个文件,删除时系统提示“文件正在使用,无法删除”。很明显,这就是一个插入了正常进程的DLL木马。
2.自己动手,揪出宿主进程
在系统中无法删除文件,大多数的原因是由于当前文件正被使用。DLL木马文件无法删除,显然是由于其插入系统进程所致。到底是哪个进程被注入木马?笔者借助系统自带的Tasklist命令查找。单击“开始一运行”,输入“emd.exe”打开命令行窗口。输入“tasklist/m>k:dll.txt”(不含外双引号,下同),这个命令的作用是将当前活动进程加载的DLLl文件列表列出,同时输出到k:dll.txt中。
启动记事本程序,打开“k:dll.txt”,单击菜单栏的“编辑→查找”,输入杀毒软件提示的病毒文件“rundll.dll”,单击“查找下一个”按钮后,我们可以发现系统的桌面进程(explorer.exe)加载了木马文件。也就是说木马插入了桌面进程。
3.卸载DLL杀木马
知道被注入的宿主进程后,我们可以使用“Inject DLL"将注入的DLI,文件卸载,从而删除木马文件。
Inject DLL是个命令行卸载工具(下载地址h11p://wor.knewhua.com/pcd),下载后将文件解压到k:,启动命令提示符后,输入“idu exploreEexe rundll.d11/e”,当系统提示“DLL Jection suoessful!”,表示程序成功卸载DLL文件,现在就可以进入c:Windowssystem32,把DLL木马文件删除。
有些DLL木马还有一个监视进程,一旦发现注入的DLL木马被卸载,它会立刻重新插入。因此,当我们利用“InjectDLL”卸载木马后,如果仍然无法删除文件时,一定要打开任务管理器查看是否有异常监视进程。
像木马—样去战斗
除了DLL木马外,由于DLL文件的特殊性,一些应用软件也会借助DLL文件完成自身功能,可不要错杀此类文件哦。下面,我们介绍两个与隐身木马采用同样工作方式的实用工具。
1.资源管理侧边栏插件FindeXer
它是只有一个DLL文件的资源管理器侧边栏插件,先到微软官方下载网站(http://www.microsoft.com/downloads)通过搜索下载“MicrosoftVisualC十十2005 Redistributable Package(x86)”并安装好。然后到http://tomseffectcom/LessClix/FmdeXer/FmdeXer%20Nightly%20V1.1.0.30zip下载FindeXer运行其中的Register.bal注册Findexer.DLL文件。
现在,启动资源管理器,在菜单栏选择“查看→浏览器栏→FindeXer”,我们就可以在资源管理器打开一个新的侧边栏使用。
如果要卸载它,只要在开始菜单的运行框输入“regsvr32/u FindeXer.dll”卸载DLL文件即可。
2.让日期显示农历插件Winkld
这是一个可以让系统时间显示农历、天气预报插件。到http://work.newhua.com/pcd下载dll并复制到“c:Windowssystem32”,单击“开始→运行”,输入“regsvr32s WinKld.dll”,重启系统后双击托盘中的系统时间,我们就看到显示的农历了,切换到“天气”标签,选择自已的城市还可以显示天气预报。卸载则输入“regsvr32/uWinKldll”命令。
大家可以看到,在运行这类DLL程序时,我们都要先用regsvr32.exe来加载。regsvr32.exe是32位系统下使用的DLL注册和反注册工具,使用它必须通过命令行的方式,通常可以用来加载一些系统控件,有时也用于修复系统故障。