手工清剿系统“寄生虫”——Dll木马[6]
[时间:2009-12-18]  [文章来源:上海百络]  [责任编辑:master]
     5、恢复系统

      将DLL文件删除后,还要到注册表中找到所有与该DLL木马关联的项目,尤其是这几个与自动启动有关的项目:

      HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

      另外,DLL木马不仅仅局限存在于Run、Runonce这些众所周知的子键,而有可能存在于更多的地方。例如对于后门类的DLL来说“KnownDLLs”就是再好不过的藏身之处。在注册表的“HEKY_LOCALMACHINE\SYSTEM\ControlSet001\Control\Session Manager\KnownDLLs”子键下,存放着一些已知DLL的默认路径(如图6)。假设DLL木马修改或者增加了某些键值,那么DLL木马就可以在系统启动的时候悄无声息地代替正常的DLL文件被加嵌入到相应的进程中。(图6)

      

      图6 注册表内删除

      三、总结

      总的来说,DLL木马后门的种类极多,木马选择的注册表选项及其系统进程也不尽相同。清除DLL木马的总体思路是这样的:在碰到DLL注入类木马时,我们可以首先考虑用procexp之类的工具,查找出DLL类木马的宿主进程。找到宿主进程后,如果是注入到普通可结束的进程中,可以直接将宿主进程结束后直接删除木马文件即可。如果DLL木马是注入到系统关键进程中的话,可以考虑用IceSword卸载DLL文件;如若失败,那么直接用SSM建立规则或者通过阻止DLL文件的加载就可以了。

      DLL注入型木马并不会感染其它文件,只要结束木马进程,删除木马文件,木马就无法死灰复燃了。最后剩下的工作就是清除掉木马在注册表和其它启动文件中留下的项目。



    [关闭本页]
  关键词:  手工清剿系统“寄生虫”——Dll木马[6]
首页 |  局域网监控软件 |  局域网管理软件 |  流量监控软件 |  百络网警用户论坛
Copyright © 2013-2016 NETBAI.COM 上海百络信息技术有限公司 版权所有 E-MAIL:netbai999@126.com
监控软件-征信网认证 监控软件-网警网络110 沪ICP备14015905号-1
监控软件-公安部检测报告 监控软件-360认证 监控软件-瑞星认证 监控软件-金山云安全中心网站安全检测 监控软件-江民安全认证 监控软件-卡巴斯基检测通过 监控软件-小红伞安全认证