像木马一样去战斗.doc

像木马一样去战斗.doc像木马一样去战斗如果你常看我们的病毒播报栏目,一定会在很多木马,病毒的介绍中看到“使用了线程插入技术”这类的描述,这个线程插入技术就是现在木马隐藏自身的常用手段之一。在Window$文件大家族中,DLL是比较特殊的一种类型,它不是可执行文件,却可以完成可执行文件的功能。正是由于这种特特殊,越来越多的木马制造者把目光瞄上了DLL文件。 DLL木马的恶行 DLL木马通过其他进程调用(,常常导致误杀“忠良”),或者插入关键系统进程(,导致无法删除或强行终止进程后当机)。由于DLL木马隐藏在幕后作恶,这给系统安全带来很大的威胁。笔者近日就中招一个DLL木马,下面将查杀经验与大家分享。 ,木马惊现近日在一次例行的安全扫描中,笔者安装的Avast!突然发出报警声,程序提示发现“c:\Windows\system32\”木马,单击“删除”,杀毒软件提示无法删除病毒。打开任务管理器,没有发现异常进程,找那个文件,删除时系统提示“文件正在使用,无法删除”。很明显,这就是一个插入了正常进程的DLL木马。 ,揪出宿主进程在系统中无法删除文件,大多数的原因是由于当前文件正被使用。DLL木马文件无法删除,显然是由于其插入系统进程所致。到底是哪个进程被注入木马?笔者借助系统自带的Tasklist命令查找。单击“开始一运行”,输入“”打开命令行窗口。输入“tasklist/m>k:\”(不含外双引号,下同),这个命令的作用是将当前活动进程加载的DLLl文件列表列出,同时输出到k:\。启动记事本程序,打开“k:\”,单击菜单栏的“编辑→查找”,输入杀毒软件提示的病毒文件“”,单击“查找下一个”按钮后,我们可以发现系统的桌面进程()加载了木马文件。也就是说木马插入了桌面进程。 ,我们可以使用“InjectDLL"将注入的DLI,文件卸载,从而删除木马文件。 InjectDLL是个命令行卸载工具(下载地址h11p://wor./pcd),下载后将文件解压到k:\,启动命令提示符后,输入“”,当系统提示“DLLJectionsuoessful!”,表示程序成功卸载DLL文件,现在就可以进入c:\Windows\system32,把DLL木马文件删除。有些DLL木马还有一个监视进程,一旦发现注入的DLL木马被卸载,它会立刻重新插入。因此,当我们利用“InjectDLL”卸载木马后,如果仍然无法删除文件时,一定要打开任务管理器查看是否有异常监视进程。像木马―样去战斗除了DLL木马外,由于DLL文件的特殊性,一些应用软件也会借助DLL文件完成自身功能,可不要错杀此类文件哦。下面,我们介绍两个与隐身木马采用同样工作方式的实用工具。 它是只有一个DLL文件的资源管理器侧边栏插件,先到微软官方下载网站(nloads)通过搜索下载“MicrosoftVisu