在这个万“马”奔腾的时代,网络上充斥着各种各样的木马,不过随着杀毒技术的进步和大家防毒意识的提高,传统木马已渐渐失去市场,而DLL木马则“与时俱进”以其强大的生命力,继续网络中“为非作歹”。因DLL木马的启动方式比较特别,它不象传统的木马,启动时会“傻傻”地在进程列表中暴露自己,而且还可以通过插入系统进程运行自己,具有很强的隐蔽性。本文就和大家一起来揭开DLL木马的神秘面纱。

  一、初识DLL木马

  首先了解一下DLL文件,DLL(Dynamic Link Library)是系统中的动态链接库文件,DLL文件本身并不能够运行,需要应用程序来调用。当程序运行时,Windows将其装入内存中,并寻找文件中出现的动态链接库文件。对于每个动态链接,Windows都会装入指定的DLL文件并把它映射到相应虚拟地址空间中。DLL木马实际就是把一段实现了木马功能的代码加上一些特殊代码写成DLL文件。DLL文件运行时是插入到应用程序的内存模块当中,所以DLL文件无法删除。

  下面以一个实例说明DLL文件的运行,单击“开始→运行”并输入“rundll32.exe netplwiz.dll,UsersRunDll”,回车后会看到一个用户账户设置窗口,打开进程列表发现系统新增一个“rundll32.exe”进程,但是并不会发现DLL之类的进程,“netplwiz.dll,UsersRunDll”就是通过“rundll32.exe”来调用的,如果这是一个DLL木马,那么它启动后新增的进程就是正常的“rundll32.exe”,一般用户也不会将“rundll32.exe”中止或删除,而木马此时却可以在后台悄悄地“作恶”。

  小提示

  当然除了用“rundll32.exe”作为载体外,DLL木马还可以通过动态嵌入技术,通过任意一个系统进程进行加载。

  二、查杀方法

  前面介绍了DLL文件自身并不能运行,它必须通过其它程序调用才能“作恶”,主要有以下两种途径:

  1.通过Rundl32l.exe启动的木马

  木马运行如上所述,系统启动后若发现加载了“rundll32.exe”进程,那很可能就是中招了。不过系统也会调用“rundll32.exe”来加载正常的DLL文件,主要看加载的是什么DLL文件,因为木马大多是通过注册表键值来自启动。首先检查那些常见的自启动键值,如“3721”就是通过DLL文件来启动的,虽然它并不是木马,但是它的自启动和运行方式可以借鉴。它在注册表的[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]下,新添了一个“CnsMin”的键值,启动命令是“Rundll32.exe E:WINDOWSDOWNLO~1CnsMin.dll,Rundll32”。这样每次启动系统后“CnsMin.dll”都会被Rundll32.exe调用,而在进程列表出现的则是Rundl32.exe。此类DLL木马的运行过程大多如此,查杀方法是:首先将“rundll32.exe”进程终止,接着查找注册表各启动键值,从启动命令的路径中找到相应的DLL文件并删除即可。

来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/10294527/viewspace-124119/,如需转载,请注明出处,否则将追究法律责任。

转载于:http://blog.itpub.net/10294527/viewspace-124119/

小编带你一起揭开DLL木马的神秘面纱(转)相关推荐

  1. 计算机丢失concrt140,小编教你解决concrt140 dll 【解决教程】 的技巧_

    近日有小伙伴发现电脑出现问题了,在突然遇到concrt140 dll 时不知所措了,对于concrt140 dll 带来的问题,其实很好解决concrt140 dll 带来的问题,下面小编跟大家介绍c ...

  2. 小编带你两图看清北京大厂公司、码农分布——谷歌,微软,百度,腾讯,阿里,滴滴,美团,头条,独角兽

    小编带你两图看清北京大厂公司.码农分布--谷歌,微软,百度,腾讯,阿里,滴滴,美团,头条 ​ 北京一二线大厂公司.码农分布 年关将至,意味着2021年即将过去,2022年即将到来 现在,就是大家开始为 ...

  3. 揭开木马的神秘面纱 2

    揭开木马的神秘面纱zz 2 离冰河二的问世已经快一年了,大家对于木马这种远程控制软件也有了一定的认 识,比如:他会改注册表,他会监听端口等等,和一年前几乎没有人懂得木马是什么东   西相比,这是一个质 ...

  4. 揭开木马的神秘面纱 1

    揭开木马的神秘面纱 1 前言 在网上,大家最关心的事情之一就是木马:最近出了新的木马吗?木马究竟能实现 哪些功能?木马如何防治?木马究竟是如何工作的?本文试图以我国最著名的木马之  - 冰河为例,向大 ...

  5. 服务器里面为什么有的信号好低,为什么同一个地方手机信号却不同?带你揭开手机信号的神秘面纱...

    原标题:为什么同一个地方手机信号却不同?带你揭开手机信号的神秘面纱 信号格数是信号强度的一种直观可视化的表现形式,可以让我们直观的看到信号强度的变化. 相信大家或多或少都遇到过信号弱的情况,那么到底什 ...

  6. 冰河浅析 - 揭开木马的神秘面纱(下)

    冰河浅析   -   揭开木马的神秘面纱(下)     作者:·   shotgun·yesky 四.破解篇(魔高一尺.道高一丈)         本文主要是探讨木马的基本原理,   木马的破解并非是 ...

  7. 揭开木马的神秘面纱 一

    前言 在网上,大家最关心的事情之一就是木马:最近出了新的木马吗?木马究竟能实现哪些功能?木马如何防治?木马究竟是如何工作的?本文试图以我国最著名的木马之一 - 冰河为例,向大家剖析木马的基本原理,为大 ...

  8. @程序员,为你揭开直播技术的神秘面纱!

    作者 | 阿文,责编 | 郭芮 头图 | CSDN 下载自视觉中国 出品 | CSDN(ID:CSDNnews) 随着Web 2.0 的普及以及移动互联网技术的发展,各种视频分享.流媒体直播类型的服务 ...

  9. 揭开均线系统的神秘面纱_在应用程式审查API中揭开新玩法的神秘面纱

    揭开均线系统的神秘面纱 During the #11WeeksOfAndroid the new Play In-App Review API was announced. This was a lo ...

最新文章

  1. 使用awk获得java进程号,获取进程号并赋值判断进程状态
  2. python matplotlib散点图-python的matplotlib散点图
  3. Java第一次读文件慢_Java 关于文件读取速度问题,求助,谢谢啦
  4. windows 操作系统里 git bash 和 git cmd 的区别
  5. php 禁止浏览器直接访问网页_PHP禁止直接从浏览器输入地址访问PHP文件
  6. django框架之模板系统
  7. 莫言汕大致辞:马云、盖茨毕业之初都没什么了不起
  8. kubernetes视频教程笔记 (3)-Pod及其网络通讯方式
  9. 转 GRE -- ME 似乎有件事,一直等待着我去做,努力去做。
  10. AUTOCAD参数约束功能
  11. www读取本地图片做微缩图
  12. HTML5教程实例-用Canvas制作线性渐变图形
  13. 章节六:RASA NLU组件介绍--特征生成器
  14. 标准化与归一化的差异
  15. 【数据结构-树图】树和图的性质
  16. 2022年10月 前端面试题总结——(二)
  17. Javamysql语法转化oracle_数据库移植之oracle To mysql(java)
  18. IC验证——SystemVerilog学习
  19. 使用 google音乐播放器乱码解决
  20. HTML5 canvas基础与「生成名片」应用程序

热门文章

  1. 华为西安鲲鹏服务器项目,眼见为实,华为鲲鹏架构服务器生态大揭秘
  2. html 圆环实现多种颜色,Echart饼图实现(圆环图)+状态颜色控制
  3. VUE_v-lazy懒加载
  4. 技嘉H510M H主板安装gtx660折腾记录
  5. 从NAACL2021到ACL2022:两个信息抽取SOTA的比较分析(PURE vs PL-Marker)
  6. 忘记Win10电脑密码,修改密码的方法
  7. MIUI12或android11找不到QQ文件的问题
  8. python开源电子书_Python 开源电子书资源
  9. 新媒体视频导演 - 导演学前班
  10. Flutter实现微信支付和iOS IAP支付,ndk开发入门