动态嵌入式DLL特洛伊木马的简单发现与删除

随着MS的操作系统从Win98到WinNT系统的过渡(包括2K或XP),MS的任务管理器也突然变成了重生,火眼金睛(在WinNT传统木马无法隐藏自己的进程),这使得在WIN98以前的系统服务注册过程可以隐藏在面对危机的任务管理器,所以迄今未知的木马,木马开发者及时调整发展思路,所以会有今天,本文讨论了如何将嵌入式动态DLL木马。

首先,我们来了解一下动态嵌入式木马是什么,为了能够隐藏进程在NT系统,木马开发者开始使用DLL(动态链接库的动态链接库文件),起初他们的书面形式代替赢得socket1木马DLL系统X。函数调用而(赢在ws2_32.dll,socket2所以协议)是负责转发未知函数的操作和功能(DLL木马替换而将改名,以转发后实现的功能)来实现远程控制的功能。但随着MS数字签名技术和文件恢复阶段,DLL马的生命力也很弱,所以在开发人员的努力,AP梨木马--动态嵌入式dll木马目前,DLL木马嵌入系统的关键process.explorer.exe,smss.exe系统,Svchost.exe过程是永无止境的马运行DLL的喜爱,所以,在任务管理器将不会出现在DLL的文件,但文件我们DLL矢量文件。当然,通过对DLL木马的进一步处理,还可以实现诸如端口劫持/重用(所谓的免费端口)、注册为系统服务、开放多线程保护等功能,总之,DLL木马已经达到了前所未有的隐蔽性。

那么我们如何找到并清除DLL特洛伊木马程序呢

首先,从DLL木马的DLL文件,我们知道我是一个捉迷藏的好地方,很多木马都削尖了脑袋往里钻,DLL也不例外,在这一点上我们可以安装在系统和必要的应用程序,使一个目录的EXE DLL文件记录和运行cmd -- * .exe > exeback.txt dir *. dll > dllback.txt system32 --目录将目录名,这样所有的EXE和DLL文件记录分别exeback.txt和dllback.txt如发现异常,但与传统方法没有问题,当考虑DLL木马已经潜入系统。这不是我们使用相同的命令下system32 EXE和DLL文件到另一个exeback1.txt和dllback1.txt,然后运行cmd,FC exeback.txt exeback1 .txt > diff.txt FC dllback.txt dllback1 .txt > diff.txt。(使用FC命令之前和之后的两个DLL和EXE文件,并将结果输入到diff.txt),所以我们可以找到一些更多的DLL和EXE文件,然后通过查看创建时间、版本、是否通过压缩可以很容易判断被DLL木马访问。不,这是最好的。如果有,请不要直接删除dll。我们可以先把它移到回收站。如果系统没有异常响应,它将被完全删除或提交给杀毒软件公司。






二,上述关键过程中的一些系统这类木马的爱,所以我们怀疑,一旦系统已经进驻了DLL木马,我们当然要关注这些关键过程的护理,如何照顾这里推荐一个强大的脱壳机工具procedump.exe可以帮你看看他调用DLL文件的过程(图1)但因为有些进程调用的DLL文件,检查自己做的改变是不现实的,所以我们将使用写一个NT进程/内存模块查看器ps.exe,将呼吁所有当前文件名的文件保存到nowdlls.txt命令ps.exe / /米> nowdlls.txt DLL的系统,然后我们使用FC之前备份dllback.txt比较,它可以缩小投资范围血清学调查。

三、记住一个端口木马的特点,只要一切都是相连的,只要它接收/发送数据绑定到开放的端口,DLL木马也不例外,他们也为我们找到线索,我们可以使用Foundstone端口查看工具中查看的fport.exe端口和相应的这个过程可以缩小到具体的过程,并与procedump结合查找DLL木马是相对容易的。当然,如上所述,通过端口或端口劫持重用方法进行通信,139, 80, 1443一些木马等是最常见的端口木马的爱。因为即使用户使用端口扫描软件检查自己的端口,这也类似于TCP userip:1026 controllerip:80established。如果你忽略了一点,你会认为自己在浏览网页。我们要监控端口通信,这是第四点说。

四,我们可以使用嗅探器来了解在开放端口上传输的数据,通过设置网卡作为混合模式,您可以接受所有的IP消息。嗅探器可以选择值得注意的部分进行分析,剩下的是根据RFC文档对协议进行解码,这就可以确定特洛伊木马所使用的端口。

五,我们通常所说的查杀木马已经习惯了运气的注册表,之前可能是相当有效的,但是如果他们注册为系统服务的木马(原理:NT / 2K或XP在这些系统中,系统会启动加载指定的服务程序)此时检查:启动/注册表/ AUTOEXEC。BAT / /系统赢得了。ini INI / wininit INI / *的INF(例如Autorun. inf) / CONFIG.SYS文件中发现了一个奇怪的小,应检查服务系统:右击我的电脑管理服务和应用服务,然后你会看到超过100的服务,当然,如果你以前使用的出口服务功能的备份列表,文件比较的方法很容易看到客人是什么,你可以加载的文件的服务记录,然后使用资源工具包提供的服务并删除删除加载的文件的srvinstw.exe。

通过以上五个步骤,我们基本上可以找到并删除狡猾的动态嵌入DLL特洛伊木马程序。也许你会发现,如果我们适当地做一些备份,它将帮助我们找到特洛伊木马程序,当然,它也将减少许多作品的压力。