AGAMES 討論區

標題: [轉貼]系統安全:剿清刪不掉的DLL木馬 [打印本頁]

作者: godzilla    時間: 2008-4-15 00:21:33     標題: [轉貼]系統安全:剿清刪不掉的DLL木馬

DLL注入木馬是目前網路上十分流行的木馬形式,它就像是一個寄生蟲,木馬以DLL檔案的形式,寄宿在某個重要的系統 Process 中,通過宿主來調用DLL檔案,實現遠端控制的功能。這樣的木馬嵌入到系統 Process 中可以穿越防火牆,更讓人頭疼的是,用殺毒軟體進行查殺,殺軟即使報警提示發現病毒,但是也無法殺掉木馬病毒檔案,因為木馬DLL檔案正被宿主調用而無法刪除。下面我們把殺軟放到一邊,通過專用工具及其手工的方法來清除DLL木馬。



  一、清除思路



  1、通過系統工具及其第三方工具找到木馬的宿主 Process ,然後定位到木馬DLL文件。



  2、結束被木馬注入的 Process 。



  3、刪除木馬檔案。



  4、登錄檔相關項的清除。



  二、 清除方法



  1、普通 Process DLL注入木馬的清除



  有許多DLL木馬是注入到“iexplore.exe”和“explorer.exe”這兩個 Process 中的,對於注入這類普通 Process 的DLL木馬是很好清除掉的。



  如果DLL檔案是注入到“iexplore.exe” Process 中,此 Process 就是IE流覽 Process ,那麼可以關掉所有IE視窗和相關程式,然後直接找到DLL檔案進行刪除就可以了。如果是注入到“explorer.exe” Process 中,那麼就略顯麻煩一些,因為此 Process 是用於顯示桌面和資源管理器的。當通過任務管理器結束掉“explorer.exe” Process 時,桌面無法看破到,此時桌面上所有圖示消失掉,“我的電腦”、“網上鄰居”等所有圖示都不見了,也無法打開資源管理器找到木馬檔案進行刪除了。怎麼辦呢?



  這時候可以在任務管理器中點擊功能表“檔案”→“新任務執行”,打開創建新任務對話方塊,點擊“流覽”挖通過流覽對話方塊就可以打開DLL檔案所在的路徑。然後選擇“檔案類型”為“所有檔案”,即可顯示並刪除DLL了。

   

    提示:如果你熟悉命令行(cmd.exe)的話,可以直接通過命令來清除,如:



  taskkill /f /im explorer.exe



  del C:\Windows\System32\test.dll



  start explorer.exe



  第一行是結束explorer.exe,第二回是刪除木馬檔案test.dll,第三行是重啟explorer.exe。

   2、使用IceSword卸載DLL檔案調用



  如果木馬是插入了“svchost.exe”之類的關鍵 Process 中,就不能指望 Process 管理器來結束 Process 了,可能需要一些附加的工具卸載掉某個DLL檔案的調用。



  IceSword的功能十分強大,可以利用它卸載掉已經插入到正在執行的系統 Process 中的DLL檔案。在IceSword的 Process 列表顯示視窗中,右鍵點擊DLL木馬宿主 Process ,選擇彈出功能表中的“模組資訊”命令打開DLL模組列表對話視窗。選擇可疑的模組後,點擊“卸載”按鈕即可將DLL木馬 Process 中刪除掉了。





歡迎光臨 AGAMES 討論區 (http://forum.agames.hk/) Powered by Discuz! X2