只需一招 手無寸鐵輕易清除“dll后門木馬”

一直以來，我們都認為木馬是以exe結(jié)尾的可執(zhí)行文件，只要不運行exe為后綴的文件就可以了。但如果木馬都這么容易辨別，那就不能稱為木馬了。事實上有很多木馬都不是以exe為后綴的，例如著名的后門木馬工具bits，就是一款dll后門，整個后門程序只有一個dll文件，但卻可以實現(xiàn)非�？植赖男Ч�。那么dll后門木馬是如何運作的?我們又該如何清除dll后門木馬呢?請看本文。

★dll后門木馬的來歷

dll(DynamicLinkLibrary)即系統(tǒng)的動態(tài)鏈接庫文件。dll文件本身并不可以運行，需要應(yīng)用程序調(diào)用。當程序運行時，Windows將dll文件裝入內(nèi)存中，并尋找文件中出現(xiàn)的動態(tài)鏈接庫文件。dll后門木馬實際就是把一段實現(xiàn)了木馬功能的代碼加上一些特殊代碼寫成dll文件。我們都知道正在運行的程序是不能關(guān)閉的，而dll后門木馬會插入到這個應(yīng)用程序的內(nèi)存模塊中，因此同樣同樣無法刪除，這就是dll后門木馬的高明之處。

dll后門木馬通常只有一個文件，依靠動態(tài)鏈接程序庫，由某一個EXE作為載體，或者使用Rundll32.exe來啟動，插入到系統(tǒng)進程中，達到隱藏自身的目的。因此dll后門木馬在隱藏技術(shù)上比普通木馬有了質(zhì)的飛躍，當然危害性也就大大增加了。

dll后門木馬的運作方式

dll后門木馬的危害主要分為兩方面：1.隱蔽性，由于其可以“寄宿”于任一應(yīng)用程序的進程，包括系統(tǒng)進程，因此我們很難發(fā)現(xiàn)其存在。2.難刪除：上文中我們提到被dll后門木馬插入的進程是無法結(jié)束的，因此要想清除并不容易。

我們來結(jié)合實際看看dll后門木馬的使用和運作過程。bits是一款著名的dll后門木馬，其具備了dll后門木馬的所有特點，沒有進程，也不開啟端口，認為：隱蔽性很強，是dll后門木馬的代表。

bits的安裝

bits只有一個dll文件——bits.dll。點擊“開始”→“運行”，輸入“rundll32.exebits.dll,install<123456>”即可成功讓bits進駐系統(tǒng)。

▲安裝bits

bits的使用

假設(shè)運行bits的計算機IP地址為192.168.0.1，黑客可以使用一款網(wǎng)絡(luò)工具nc,在“命令提示符”中運行nc后輸入命令“nc192.168.0.180”�；剀嚭髸�發(fā)現(xiàn)沒有回顯，此時我們需要輸入”才能命令bits。這條命令的作用是綁定一個shell到本機的777端口，此時黑客再連接目標主機的777端口就可以在目標計算機上執(zhí)行任意命令了。一般的dll后門木馬都需要類似的安裝和使用，認為：雖然比普通木馬要來得麻煩，但是威力是相當大的。

▲連接bits開啟后門

清除木馬

bits的清除還是比較簡單的，首先運行注冊表編輯器，定位到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRasAutoParameters，將ServiceDll的鍵值更改為“%SystemRoot%System32\rasauto.dll”即可，然后將系統(tǒng)目錄system32文件夾下的bits.dll刪除即可。

▲清除bits

dll后門木馬的防范

1、當系統(tǒng)存在問題時，我們可以查看進程中的dll文件，找出隱藏在其中的dll后門木馬。查看進程中的dll文件可以使用Windows優(yōu)化大師的進程管理功能，點擊進程后，在下方會出現(xiàn)該進程中包含的dll文件，如果是系統(tǒng)進程，那么其dll文件的發(fā)行商都應(yīng)該是“Microsoft”，否則就很有可能是dll后門木馬。找到dll后門木馬后將進程結(jié)束，再根據(jù)路徑將dll后門木馬刪除即可。

2、及時更新殺毒軟件。dll后門木馬雖然和普通木馬不同，但仍舊是木馬，還是可以被殺毒軟件查殺的，只要我們及時升級殺毒軟件病毒庫，對防范dll后門木馬還是有很大幫助的。

服務(wù)器租用/服務(wù)器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]