免费视频淫片aa毛片_日韩高清在线亚洲专区vr_日韩大片免费观看视频播放_亚洲欧美国产精品完整版

寫在前面：很多人的系統(tǒng)經(jīng)常出現(xiàn)莫名其妙的問題，上網(wǎng)也經(jīng)常彈出各類奇怪的窗口，各類木馬病毒呈爆炸式的增長，大多是中了木馬或病毒所致，一直想寫一篇比較深入的關(guān)于dll插入型木馬病毒的原理，查殺與防范的文章，可惜囿于時(shí)間所限，一直也只是打腹稿，未能成型，五一回家終于有了時(shí)間，于是就有了這篇文章





在文章開始前，我覺得有必要說明一些名詞，先列表如下



Rootkit：可能你對(duì)這個(gè)名詞并不太陌生，rising的卡卡上網(wǎng)助手的宣傳里就提到過采用很多Anti-rootkit技術(shù)，那說明Rootkit肯定不是什么好東西，呵呵，其實(shí)這最早是個(gè)linux下的名詞，一般是指用來隱藏直接可獲得管理員權(quán)限的后門的技術(shù)工具，后來衍生到了win下。



dll：簡單說DLL 是一個(gè)包含可由多個(gè)程序同時(shí)使用的代碼和數(shù)據(jù)的庫，所以dll也叫動(dòng)態(tài)鏈接程序庫，當(dāng)exe程序運(yùn)行時(shí)，會(huì)同時(shí)調(diào)用很多dll文件來實(shí)現(xiàn)擴(kuò)展功能。



dll插入：把一個(gè)實(shí)現(xiàn)了后門功能的代碼寫成一個(gè)DLL文件，然后插入到一個(gè)EXE文件當(dāng)中，使其可以執(zhí)行，這樣就不需要占用進(jìn)程，也就沒有相對(duì)應(yīng)的PID號(hào)，也就可以在任務(wù)管理器中隱藏。我們可以這樣理解，dll好比一個(gè)寄生蟲，而exe則是宿主，把dll注入到exe程序運(yùn)行的空間中，我們的dll才能活下來，一旦exe程序被終止，dll也隨之死去。







相信看了上面的列表，大家應(yīng)該對(duì)dll插入有了一個(gè)大概的影象，其實(shí)dll插入技術(shù)也叫“遠(yuǎn)程線程注入技術(shù)”，并不是什么很新鮮的玩意，屬于rootkit技術(shù)中的一種，而rootkit技術(shù)大致可分為ring0（內(nèi)核級(jí)別）和ring3（用戶級(jí)別）兩類，ring3下有很多技術(shù)如：遠(yuǎn)程線程注入技術(shù)，hook api 技術(shù)，端口復(fù)用技術(shù)等等，而要達(dá)到ring0級(jí)別的話，就要涉及到驅(qū)動(dòng)開發(fā)了，如果你想深入了解rootkit，可以去www.rootkit.com上去看看。



假設(shè)我們已經(jīng)編好了dll中的相關(guān)代碼，那么如何讓它運(yùn)行呢，從開始我已經(jīng)提過，我們要找一個(gè)宿主，也就是一個(gè)exe進(jìn)程來加載我們的dll，而加載dll又可以分為以下幾種方式：



一：利用系統(tǒng)中的rundll32.exe加載




經(jīng)常會(huì)有人在注冊(cè)表的啟動(dòng)項(xiàng)中會(huì)發(fā)現(xiàn)類似鍵值

rundll32.exe c:\temp\XXX.dll dllmain

那么是什么意思呢？，其實(shí)rundll32.exe這個(gè)程序顧名思義，運(yùn)行32位的dll程序，功能就是以命令行的方式調(diào)用動(dòng)態(tài)鏈接程序庫，其命令行下的使用方法為：

Rundll32.exe dll的名字 調(diào)用的函數(shù)名

如果我們的dll中編寫了test（）這個(gè)函數(shù)，那么調(diào)用方式就是：Rundll32.exe C:\dlltest.dll test

這樣dll中的函數(shù)就得到運(yùn)行了。



二：替換系統(tǒng)中的DLL文件


這可以說是上面的升級(jí)版了，它把實(shí)現(xiàn)了后門功能的代碼做成一個(gè)和系統(tǒng)匹配的DLL文件，并把原來的DLL文件改名。遇到應(yīng)用程序請(qǐng)求原來的DLL文件時(shí)， DLL后門就啟一個(gè)轉(zhuǎn)發(fā)的作用，把"參數(shù)"傳遞給原來的DLL文件；如果遇到特殊的請(qǐng)求時(shí)（比如客戶端），DLL后門就開始，啟動(dòng)并運(yùn)行了，但是實(shí)現(xiàn)卻不太容易，所以沒有流行開來。



三：就是我們要說的dll注入技術(shù)了



其意義是將DLL文件嵌入到正在運(yùn)行的系統(tǒng)進(jìn)程當(dāng)中。在Windows系統(tǒng)中，每個(gè)進(jìn)程都有自己的私有內(nèi)存空間，但還是有種種方法來進(jìn)入其進(jìn)程的私有內(nèi)存空間，來實(shí)現(xiàn)動(dòng)態(tài)嵌入式。

有什么好處呢，首先是實(shí)現(xiàn)了隱藏，任務(wù)管理器中看不見我們的dll后門，其次windows和linux 不同，不能刪除正在運(yùn)行的程序，這就是為什么經(jīng)常刪東西時(shí)候會(huì)提示“xxx正在運(yùn)行，無法刪除?？赡茏钪匾氖强梢源┩附^大多數(shù)防火墻了，設(shè)想防火墻肯定不會(huì)阻攔ie，那我們把dll插入ie進(jìn)程，不就穿透防火墻了嗎。



那么我們?nèi)绾螌?shí)現(xiàn)把dll注入到exe中呢？dll自己又沒長腿，呵呵，我們需要一個(gè)dlllorder.exe,再哪弄？自己寫唄，把代碼寫到dlllorder.exe中，只要運(yùn)行dlllorder.exe，相應(yīng)的dll文件就可以注入到任何程序中了。有了dlllorder就好辦了，只要能讓系統(tǒng)每次自動(dòng)啟動(dòng)dlllorder，后門的生存期就大大增長了，至于如何自啟動(dòng)，有注冊(cè)表，服務(wù)，BHO,activex，計(jì)劃任務(wù)等等，太多了，就不介紹了。



dll木馬的防范與清除




對(duì)于第一類dll文件

下次看到進(jìn)程中有rundll32.exe，則只要找到它調(diào)用的dll就可以kill掉隱藏的程序了



對(duì)于第三類dll文件



第一招： 對(duì)于dll的隱藏地，temp，system32，windows這三個(gè)文件夾是最常見的，如果你哪天發(fā)現(xiàn)temp里某個(gè)dll文件無法刪除，那么幾乎可以肯定這個(gè)文件有問題了，

安裝好系統(tǒng)和所有的應(yīng)用程序之后，備份system32目錄下的EXE和DLL文件：打開CMD，來到WINNT\system32目錄下，執(zhí)行：

復(fù)制內(nèi)容到剪貼板

代碼:

dir *.exe >exefirst.txt dir *.dll >dllfirst.txt 這樣，就會(huì)把所有的EXE和DLL文件備份到exe.txt和dll.txt文件中，日后，如發(fā)現(xiàn)異常，可以使用相同的命令再次備份EXE和DLL文件

復(fù)制內(nèi)容到剪貼板

代碼:

dir *.exe >exeSecond.txt dir *.dll >dllSecond.txt 并使用：

復(fù)制內(nèi)容到剪貼板

代碼:

fc exefirst.txt exeSecond.txt >dllresult.txt fc dllfirst.txt dllSecond.txt >exeresult.txt 其意思為使用FC命令比較兩次的EXE文件和DLL文件，并將比較結(jié)果保存到exedll.txt文件中。通過這種方法，我們就可以發(fā)現(xiàn)多出來的EXE和DLL文件，并通過文件大小，創(chuàng)建時(shí)間來判斷是否是DLL后門。





第二招：

運(yùn)用相關(guān)工具如，icesword ,ring防火墻，重點(diǎn)檢測ie，exeplorer桌面進(jìn)程中是否有未知的dll加載文件，其實(shí)我更喜歡用ring防火墻，里面有未知dll都以紅色顯示，很方便看





第三招：



通過創(chuàng)建時(shí)間來查找，利用win中的搜索文件功能，設(shè)定時(shí)間，查找可以文件





第四招：



定期檢查系統(tǒng)自動(dòng)加載的地方，如注冊(cè)表啟動(dòng)項(xiàng)，服務(wù)列表，win.ini，system.ini。。。。，可以去網(wǎng)上搜索更多啟動(dòng)的地方





第五招：



用相關(guān)工具查看端口列表，如果你不想用cmd的話，注意下每個(gè)tcp連接后的應(yīng)用程序路徑，也可以發(fā)現(xiàn)可以文件





第六招：



當(dāng)我們運(yùn)用前面幾招找出了可疑文件，如何刪除呢？如何殺“寄生蟲”？ 最簡單的辦法就是讓“宿主”死去 ，結(jié)束被插入了的exe進(jìn)程，類似ie，桌面這類進(jìn)程可以直接用任務(wù)管理器kill，這里提一下，kill桌面exeplorer進(jìn)程時(shí)，會(huì)發(fā)現(xiàn)任務(wù)欄消失了，那么怎么刪dll呢，按ctrl+alt+del調(diào)出任務(wù)管理器，依次點(diǎn)菜單欄的 文件--新建任務(wù)，這時(shí)候會(huì)出現(xiàn)一個(gè)“創(chuàng)建新任務(wù)”的窗口，點(diǎn)下方的“瀏覽”找到插入桌面的dll文件，也就是“寄生蟲”了，呵呵，右鍵刪之，刪了后在“創(chuàng)建新任務(wù)”的窗口運(yùn)行欄中輸入“exeplorer"確定后，我們的宿主就復(fù)活了，哈哈，體內(nèi)的寄生蟲也沒了。



如果插入的是crss.exe等系統(tǒng)核心進(jìn)程呢？無法殺死宿主咋辦？沒關(guān)系，我們還有安全模式啊，開機(jī)按f8進(jìn)入安全模式，找到你確定的可疑文件，刪之，這個(gè)世界終于清凈了。。。。









寫在后面：現(xiàn)實(shí)中分析，查殺可疑文件當(dāng)然沒有這么簡單，但只要核心抓住了就可以了，不管它72變，照樣現(xiàn)出原形，最后祝所有人遠(yuǎn)離木馬，病毒！打字打的可真累啊，雖然很泛泛，希望對(duì)那些對(duì)系統(tǒng)不太熟悉的網(wǎng)友能有所幫助~





參考了部分網(wǎng)絡(luò)文章和書籍，一并感謝

本站僅提供存儲(chǔ)服務(wù)，所有內(nèi)容均由用戶發(fā)布，如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容，請(qǐng)點(diǎn)擊舉報(bào)。