1. 程式人生 > >DLL檔案常識and基本原理及修改方法

DLL檔案常識and基本原理及修改方法

 一、DLL檔案常識

  DLL是Dynamic Link Library的縮寫,意為動態連結庫。在Windows中,許多應用程式並不是一個完整的可執行檔案,它們被分割成一些相對獨立的動態連結庫,即DLL檔案,放置於系統中。當我們執行某一個程式時,相應的DLL檔案就會被呼叫。一個應用程式可有多個DLL檔案,一個DLL檔案也可能被幾個應用程式所共用,這樣的DLL檔案被稱為共享DLL檔案。DLL檔案一般被存放在C:WindowsSystem目錄下

  二、修改DLL檔案的具體應用

  在系統的組策略和登錄檔中,我們可以修改一些鍵值來優化我們的系統,並加強作業系統的安全性。可是,對於限制下載、禁止刪除檔案等功能,我們無法通過上述的操作來完成,這隻有通過修改系統DLL檔案來實現。目前,我們通過修改系統的DLL檔案,可以實現禁止刪除檔案、禁止IE下載、禁止IE另存為、禁止檔案開啟方式等功能。

  三、系統中部分DLL檔案的功能

  1、Browselc.dll IE所需要呼叫的庫檔案DLL結構雛形就是它了

  2、Shdoclc.dll 系統視窗及設定等,如刪除檔案、重新命名

  3、Shell32.dll 系統視窗及設定等,如刪除檔案、重新命名

  4、Cryptui.dll IE控制元件下載及提示對話方塊程式

  四、修改DLL檔案的方法

  1、下載DLL檔案修改工具EXESCOPE6.0-6.3或6.4工具

  2、獲取Browselc.dll、Shdoclc.dll、Shell32.dll和Cryptui.dll這幾個連結檔案。在找這幾個檔案時,最好將其他機器的硬碟,掛接在本機中,然後用本機的作業系統啟動並複製這幾個檔案。

  3、在修改DLL檔案的時候,開啟該鍵值,在右面的對話方塊中將所要修改的鍵值禁用即可,不要刪除,以備日後恢復

  五、DLL檔案修改祕籍

  1、禁止下載的修改方法:開啟Shdoclc.dll修改資源--對話方塊---4416,將4416鍵值禁用即可。

  2、禁止網頁新增到收藏夾,開啟Shdoclc.dll修改資源--對話方塊---21400,將該鍵值禁用即可。

  3、禁止惡意網頁載入控制元件,修改Cryptui.dll檔案,要同時修改5個地方才能完全禁止 資源--對話方塊---130 資源--對話方塊---230 資源--對話方塊---4101 資源--對話方塊---4104 資源--對話方塊---4107 將以各對話方塊中的相應鍵值,修改成為禁用就可以了。

  4、禁止系統刪除檔案修改Shell32.dll,這個檔案需要修改5個地方才可以禁止系統刪除檔案。資源--對話方塊---1011 資源--對話方塊---1012 資源--對話方塊---1013 資源--對話方塊---1021 資源--對話方塊---1022 將以上五個地址的鍵值禁用就可以了!

  5、禁止檔案被改名,修改shell32.dll,有2個地方需要修改資源--對話方塊---1018 資源--對話方塊---1019 將以上兩處的相應鍵值,修改為禁用就可以了!

  6、禁止執行選單,修改shell32.dll,將資源--對話方塊---1018鍵值設定為禁用。

  7、禁止系統檔案被挪動修改shell32.dll,需要修改4個地方 資源--對話方塊---1014 資源--對話方塊---1015 資源--對話方塊---1016 資源--對話方塊---1017

  8、禁止目標另存為,修改Shdoclc.dll檔案,需要修改3個地方 資源--選單--258---257 資源--選單--258---252 資源--選單--24641--2268 在這個修改中,我們要把各對應的鍵值刪除。開啟該鍵值後,右鍵選單中有刪除。在資源--選單--24641—2268中,有多項該鍵值,請逐一刪除。

  9、禁止自定義資料夾選項修改Shell32.dll檔案,需要修改以下4個地方 資源--選單--215---28719 資源--選單--216---28719 資源--選單--217---28719 資源--選單--216---28719 找到以上四處鍵值,直接需要刪除後即可,而不是禁用。

  10、禁止IE資料夾選項,修改Browselc.dll檔案,需要修改3個鍵值 資源--選單--263 (這裡有多個請刪除)---41251(刪除) 資源--選單--266(也有多個請刪除)---41329 (刪除) 資源--選單--268---41251 (刪除) 在上面的3個鍵值中,個別鍵值有多處,請逐一刪除。

  11、禁止98檔案共享控制元件,修改Msshrui.dll,需要修改2個地方 資源---對話方塊---- 1 --- AutoRadioButton 資源---對話方塊---- 30 --- AutoRadioButton 將以上兩處的鍵值禁用即可。其他的選項,可以根據自己的需要進行修改。找到相應的功能鍵值,將不需要的功能,禁用就可以了。

  12、禁止檔案的開啟方式,修改Url.dll,需要修改2個地方 資源---對話方塊--- 7000 資源---對話方塊--- 7005 將以上兩處的鍵值禁用即可。

  13、禁止更改系統桌面,修改Shdoc401.dll,有2處地方需要修改 資源---對話方塊--- 29952--- PushButton:瀏覽資源---對話方塊--- 29952--- PushButton:圖案 將以上兩處的鍵值禁用即可。
  14、禁止系統資料夾自定義,修改Shd401lc.dll,有2處地方需要修改 資源---對話方塊--- 29957 資源---對話方塊--- 29958 將以上兩處的鍵值禁用即可。

  15、禁止檔案儲存路徑及開啟,修改Comdlg32.dll,有2處地方需要修改 資源---對話方塊--- 1547 資源---對話方塊--- 1548 將以上兩處的鍵值禁用即可。

 一、DLL檔案常識

  DLL是Dynamic Link Library的縮寫,意為動態連結庫。在Windows中,許多應用程式並不是一個完整的可執行檔案,它們被分割成一些相對獨立的動態連結庫,即DLL檔案,放置於系統中。當我們執行某一個程式時,相應的DLL檔案就會被呼叫。一個應用程式可有多個DLL檔案,一個DLL檔案也可能被幾個應用程式所共用,這樣的DLL檔案被稱為共享DLL檔案。DLL檔案一般被存放在C:WindowsSystem目錄下

  二、修改DLL檔案的具體應用

  在系統的組策略和登錄檔中,我們可以修改一些鍵值來優化我們的系統,並加強作業系統的安全性。可是,對於限制下載、禁止刪除檔案等功能,我們無法通過上述的操作來完成,這隻有通過修改系統DLL檔案來實現。目前,我們通過修改系統的DLL檔案,可以實現禁止刪除檔案、禁止IE下載、禁止IE另存為、禁止檔案開啟方式等功能。

  三、系統中部分DLL檔案的功能

  1、Browselc.dll IE所需要呼叫的庫檔案DLL結構雛形就是它了

  2、Shdoclc.dll 系統視窗及設定等,如刪除檔案、重新命名

  3、Shell32.dll 系統視窗及設定等,如刪除檔案、重新命名

  4、Cryptui.dll IE控制元件下載及提示對話方塊程式

  四、修改DLL檔案的方法

  1、下載DLL檔案修改工具EXESCOPE6.0-6.3或6.4工具

  2、獲取Browselc.dll、Shdoclc.dll、Shell32.dll和Cryptui.dll這幾個連結檔案。在找這幾個檔案時,最好將其他機器的硬碟,掛接在本機中,然後用本機的作業系統啟動並複製這幾個檔案。

  3、在修改DLL檔案的時候,開啟該鍵值,在右面的對話方塊中將所要修改的鍵值禁用即可,不要刪除,以備日後恢復

  五、DLL檔案修改祕籍

  1、禁止下載的修改方法:開啟Shdoclc.dll修改資源--對話方塊---4416,將4416鍵值禁用即可。

  2、禁止網頁新增到收藏夾,開啟Shdoclc.dll修改資源--對話方塊---21400,將該鍵值禁用即可。

  3、禁止惡意網頁載入控制元件,修改Cryptui.dll檔案,要同時修改5個地方才能完全禁止 資源--對話方塊---130 資源--對話方塊---230 資源--對話方塊---4101 資源--對話方塊---4104 資源--對話方塊---4107 將以各對話方塊中的相應鍵值,修改成為禁用就可以了。

  4、禁止系統刪除檔案修改Shell32.dll,這個檔案需要修改5個地方才可以禁止系統刪除檔案。資源--對話方塊---1011 資源--對話方塊---1012 資源--對話方塊---1013 資源--對話方塊---1021 資源--對話方塊---1022 將以上五個地址的鍵值禁用就可以了!

  5、禁止檔案被改名,修改shell32.dll,有2個地方需要修改資源--對話方塊---1018 資源--對話方塊---1019 將以上兩處的相應鍵值,修改為禁用就可以了!

  6、禁止執行選單,修改shell32.dll,將資源--對話方塊---1018鍵值設定為禁用。

  7、禁止系統檔案被挪動修改shell32.dll,需要修改4個地方 資源--對話方塊---1014 資源--對話方塊---1015 資源--對話方塊---1016 資源--對話方塊---1017

  8、禁止目標另存為,修改Shdoclc.dll檔案,需要修改3個地方 資源--選單--258---257 資源--選單--258---252 資源--選單--24641--2268 在這個修改中,我們要把各對應的鍵值刪除。開啟該鍵值後,右鍵選單中有刪除。在資源--選單--24641—2268中,有多項該鍵值,請逐一刪除。

  9、禁止自定義資料夾選項修改Shell32.dll檔案,需要修改以下4個地方 資源--選單--215---28719 資源--選單--216---28719 資源--選單--217---28719 資源--選單--216---28719 找到以上四處鍵值,直接需要刪除後即可,而不是禁用。

  10、禁止IE資料夾選項,修改Browselc.dll檔案,需要修改3個鍵值 資源--選單--263 (這裡有多個請刪除)---41251(刪除) 資源--選單--266(也有多個請刪除)---41329 (刪除) 資源--選單--268---41251 (刪除) 在上面的3個鍵值中,個別鍵值有多處,請逐一刪除。

  11、禁止98檔案共享控制元件,修改Msshrui.dll,需要修改2個地方 資源---對話方塊---- 1 --- AutoRadioButton 資源---對話方塊---- 30 --- AutoRadioButton 將以上兩處的鍵值禁用即可。其他的選項,可以根據自己的需要進行修改。找到相應的功能鍵值,將不需要的功能,禁用就可以了。

  12、禁止檔案的開啟方式,修改Url.dll,需要修改2個地方 資源---對話方塊--- 7000 資源---對話方塊--- 7005 將以上兩處的鍵值禁用即可。

  13、禁止更改系統桌面,修改Shdoc401.dll,有2處地方需要修改 資源---對話方塊--- 29952--- PushButton:瀏覽資源---對話方塊--- 29952--- PushButton:圖案 將以上兩處的鍵值禁用即可。
  14、禁止系統資料夾自定義,修改Shd401lc.dll,有2處地方需要修改 資源---對話方塊--- 29957 資源---對話方塊--- 29958 將以上兩處的鍵值禁用即可。

  15、禁止檔案儲存路徑及開啟,修改Comdlg32.dll,有2處地方需要修改 資源---對話方塊--- 1547 資源---對話方塊--- 1548 將以上兩處的鍵值禁用即可。

DLL後門完全清除祕訣

後門!相信這個詞語對您來說一定不會陌生,它的危害不然而欲,但隨著人們的安全意識逐步增強,又加上防毒軟體的"大力支援",使傳統的後門無法在隱藏自己,任何稍微有點計算機知識的人,都知道"查埠""看程序",以便發現一些"蛛絲馬跡"。所以,後門的編寫者及時調整了思路,把目光放到了動態連結程式庫上,也就是說,把後門做成DLL檔案,然後由某一個EXE做為載體,或者使用Rundll32.exe來啟動,這樣就不會有程序,不開埠等特點,也就實現了程序、埠的隱藏。本文以"DLL的原理""DLL的清除""DLL的防範"為主題,並展開論述,旨在能讓大家對DLL後門"快速上手",不再恐懼DLL後門。好了,進入我們的主題。


一,DLL的原理


1,動態連結程式庫


動態連結程式庫,全稱:Dynamic Link

Library,簡稱:DLL,作用在於為應用程式提供擴充套件功能。應用程式想要呼叫DLL檔案,需要跟其進行"動態連結";從程式設計的角度,應用程式需要知道DLL檔案匯出的API函式方可呼叫。由此可見,DLL檔案本身並不可以執行,需要應用程式呼叫。正因為DLL檔案執行時必須插入到應用程式的記憶體模組當中,這就說明了:DLL檔案無法刪除。這是由於Windows內部機制造成的:正在執行的程式不能關閉。所以,DLL後門由此而生!


2,DLL後門原理及特點


把一個實現了後門功能的程式碼寫成一個DLL檔案,然後插入到一個EXE檔案當中,使其可以執行,這樣就不需要佔用程序,也就沒有相對應的PID號,也就可以在工作管理員中隱藏。DLL檔案本身和EXE檔案相差不大,但必須使用程式(EXE)呼叫才能執行DLL檔案。DLL檔案的執行,需要EXE檔案載入,但EXE想要載入DLL檔案,需要知道一個DLL檔案的入口函式(既DLL檔案的匯出函式),所以,根據DLL檔案的編寫標準:EXE必須執行DLL檔案中的DLLMain()作為載入的條件(如同EXE的mian())。做DLL後門基本分為兩種:1)把所有功能都在DLL檔案中實現;2)把DLL做成一個啟動檔案,在需要的時候啟動一個普通的EXE後門。


常見的編寫方法:


(1),只有一個DLL檔案


這類後門很簡單,只把自己做成一個DLL檔案,在登錄檔Run鍵值或其他可以被系統自動載入的地方,使用Rundll32.exe來自動啟動。Rundll32.exe是什麼?顧名思意,"執行32位的DLL檔案"。它的作用是執行DLL檔案中的內部函式,這樣在程序當中,只會有Rundll32.exe,而不會有DLL後門的程序,這樣,就實現了程序上的隱藏。如果看到系統中有多個Rundll32.exe,不必驚慌,這證明用Rundll32.exe啟動了多少個的DLL檔案。當然,這些Rundll32.exe執行的DLL檔案是什麼,我們都可以從系統自動載入的地方找到。


現在,我來介紹一下Rundll32.exe這個檔案,意思上邊已經說過,功能就是以命令列的方式呼叫動態連結程式庫。系統中還有一個Rundll.exe檔案,他的意思是"執行16位的DLL檔案",這裡要注意一下。在來看看Rundll32.exe使用的函式原型:


Void CALLBACK FunctionName (


HWND hwnd,


HINSTANCE hinst,


LPTSTR lpCmdLine,


Int nCmdShow


);


其命令列下的使用方法為:Rundll32.exe DLLname,Functionname [Arguments]


DLLname為需要執行的DLL檔名;Functionname為前邊需要執行的DLL檔案的具體引出函式;[Arguments]為引出函式的具體引數。


(2),替換系統中的DLL檔案


這類後門就比上邊的先進了一些,它把實現了後門功能的程式碼做成一個和系統匹配的DLL檔案,並把原來的DLL檔案改名。遇到應用程式請求原來的DLL檔案時,

DLL後門就啟一個轉發的作用,把"引數"傳遞給原來的DLL檔案;如果遇到特殊的請求時(比如客戶端),DLL後門就開始,啟動並運行了。對於這類後門,把所有操作都在DLL檔案中實現最為安全,但需要的程式設計知識也非常多,也非常不容易編寫。所以,這類後門一般都是把DLL檔案做成一個"啟動"檔案,在遇到特殊的情況下(比如客戶端的請求),就啟動一個普通的EXE後門;在客戶端結束連線之後,把EXE後門停止,然後DLL檔案進入"休息"狀態,在下次客戶端連線之前,都不會啟動。但隨著微軟的"數字簽名"和"檔案恢復"的功能出臺,這種後門已經逐步衰落。


提示:


在WINNT/system32目錄下,有一個dllcache資料夾,裡邊存放著眾多DLL檔案(也包括一些重要的EXE檔案),在DLL檔案被非法修改之後,系統就從這裡來恢復被修改的DLL檔案。如果要修改某個DLL檔案,首先應該把dllcache目錄下的同名DLL檔案刪除或更名,否則系統會自動恢復。


(3),動態嵌入式


這才是DLL後門最常用的方法。其意義是將DLL檔案嵌入到正在執行的系統程序當中。在Windows系統中,每個程序都有自己的私有記憶體空間,但還是有種種方法來進入其程序的私有記憶體空間,來實現動態嵌入式。由於系統的關鍵程序是不能終止的,所以這類後門非常隱蔽,查殺也非常困難。常見的動態嵌入式有:"掛接API""全域性鉤子(HOOK)""遠端執行緒"等。


遠端執行緒技術指的是通過在一個程序中建立遠端執行緒的方法來進入那個程序的記憶體地址空間。當EXE載體(或Rundll32.exe)在那個被插入的程序裡建立了遠端執行緒,並命令它執行某個DLL檔案時,我們的DLL後門就掛上去執行了,這裡不會產生新的程序,要想讓DLL後門停止,只有讓這個連結DLL後門的程序終止。但如果和某些系統的關鍵程序連結,那就不能終止了,如果你終止了系統程序,那Windows也隨即被終止!!!


3,DLL後門的啟動特性


啟動DLL後門的載體EXE是不可缺少的,也是非常重要的,它被稱為:Loader。如果沒有Loader,那我們的DLL後門如何啟動呢?因此,一個好的DLL後門會盡力保護自己的Loader不被查殺。Loader的方式有很多,可以是為我們的DLL後門而專門編寫的一個EXE檔案;也可以是系統自帶的Rundll32.exe,即使停止了Rundll32.exe,DLL後門的主體還是存在的。3721網路實名就是一個例子,雖然它並不是"真正"的後門

二,DLL的清除


本節以三款比較有名的DLL後門例,分別為"SvchostDLL.dll""BITS.dll""QoServer.dll"。詳細講解其手工清除方法。希望大家在看過這三款DLL後門的清除方法之後,能夠舉一反三,靈活運用,在不懼怕DLL後門。其實,手工清除DLL後門還是比較簡單的,無非就是在登錄檔中做文章。具體怎麼做,請看下文。


1,PortLess BackDoor


這是一款功能非常強大的DLL後門程式,除了可以獲得Local

System許可權的Shell之外,還支援如"檢測克隆帳戶""安裝終端服務"等一系列功能(具體可以參見程式幫助),適用Windows2000/xp/2003等系統。程式使用svchost.exe來啟動,平常不開埠,可以進行反向連線(最大的特點哦),對於有防火牆的主機來說,這個功能在好不過了。


在介紹清除方法之前,我們先來簡單的介紹一下svchost.exe這個系統的關鍵服務:


Svchost只是做為服務的宿主,本身並不實現什麼功能,如果需要使用Svchost來啟動服務,則某個服務是以DLL形式實現的,該DLL的載體Loader指向svchost,所以,在啟動服務的時候由svchost呼叫該服務的DLL來實現啟動的目的。使用svchost啟動某個服務的DLL檔案是由登錄檔中的引數來決定的,在需要啟動服務的下邊都有一個Parameters子鍵,其中的ServiceDll表明該服務由哪個DLL檔案負責,並且這個DLL檔案必須匯出一個ServiceMain()函式,為處理服務任務提供支援。


呵呵!看了上邊的理論,是不是有點蒙(我都快睡著了),彆著急,我們來看看具體的內容。首先我們看一下注冊表HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/RpcSs下的Parameters子鍵,其鍵值為%SystemRoot%/system32/rpcss.dll。這就說明:啟動RpcSs服務時。Svchost呼叫WINNT/system32目錄下的rpcss.dll。


再看看另一個例子,在登錄檔的HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows

NT/CurrentVersion/Svchost,裡邊存放著Svchost啟動的組和組內的各個服務,其中netsvcs組的服務最多。要使用Svchost啟動某個服務,則該服務名就會出現在HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows

NT/CurrentVersion/Svchost下。這裡有四種方法來實現:


1, 新增一個新的組,在組裡新增服務名


2, 在現有組裡新增服務名


3, 直接使用現有組裡的一個服務名,但是本機沒有安裝的服務


4, 修改現有組裡的現有服務,把它的ServiceDll指向自己的DLL後門


我測試的PortLess BackDoor使用的第三種方法。


二,DLL的清除


本節以三款比較有名的DLL後門例,分別為"SvchostDLL.dll""BITS.dll""QoServer.dll"。詳細講解其手工清除方法。希望大家在看過這三款DLL後門的清除方法之後,能夠舉一反三,靈活運用,在不懼怕DLL後門。其實,手工清除DLL後門還是比較簡單的,無非就是在登錄檔中做文章。具體怎麼做,請看下文。


1,PortLess BackDoor


這是一款功能非常強大的DLL後門程式,除了可以獲得Local

System許可權的Shell之外,還支援如"檢測克隆帳戶""安裝終端服務"等一系列功能(具體可以參見程式幫助),適用Windows2000/xp/2003等系統。程式使用svchost.exe來啟動,平常不開埠,可以進行反向連線(最大的特點哦),對於有防火牆的主機來說,這個功能在好不過了。


在介紹清除方法之前,我們先來簡單的介紹一下svchost.exe這個系統的關鍵服務:


Svchost只是做為服務的宿主,本身並不實現什麼功能,如果需要使用Svchost來啟動服務,則某個服務是以DLL形式實現的,該DLL的載體Loader指向svchost,所以,在啟動服務的時候由svchost呼叫該服務的DLL來實現啟動的目的。使用svchost啟動某個服務的DLL檔案是由登錄檔中的引數來決定的,在需要啟動服務的下邊都有一個Parameters子鍵,其中的ServiceDll表明該服務由哪個DLL檔案負責,並且這個DLL檔案必須匯出一個ServiceMain()函式,為處理服務任務提供支援。


呵呵!看了上邊的理論,是不是有點蒙(我都快睡著了),彆著急,我們來看看具體的內容。首先我們看一下注冊表HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/RpcSs下的Parameters子鍵,其鍵值為%SystemRoot%/system32/rpcss.dll。這就說明:啟動RpcSs服務時。Svchost呼叫WINNT/system32目錄下的rpcss.dll。


再看看另一個例子,在登錄檔的HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows

NT/CurrentVersion/Svchost,裡邊存放著Svchost啟動的組和組內的各個服務,其中netsvcs組的服務最多。要使用Svchost啟動某個服務,則該服務名就會出現在HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows

NT/CurrentVersion/Svchost下。這裡有四種方法來實現:


1, 新增一個新的組,在組裡新增服務名


2, 在現有組裡新增服務名


3, 直接使用現有組裡的一個服務名,但是本機沒有安裝的服務


4, 修改現有組裡的現有服務,把它的ServiceDll指向自己的DLL後門


我測試的PortLess BackDoor使用的第三種方法。


三,DLL的防範


看了上邊的例子,我想大家對清除DLL後門的方法有了一定的瞭解,但在現實中,DLL後門並不會使用預設的檔名,所以你也就不能肯定是否中了DLL後門。對於DLL後門,system32目錄下是個好地方,大多數後門也是如此,所以這裡要非常注意。下面我來具體介紹一下怎麼發現DLL後門,希望對大家有所幫助。


1,安裝好系統和所有的應用程式之後,備份system32目錄下的EXE和DLL檔案:開啟CMD,來到WINNT/system32目錄下,執行:dir

*.exe>exe.txt & dir

*.dll>dll.txt,這樣,就會把所有的EXE和DLL檔案備份到exe.txt和dll.txt檔案中;日後,如發現異常,可以使用相同的命令再次備份EXE和DLL檔案(這裡我們假設是exe0.txt和dll0.txt),並使用:fc

exe.txt exe0.txt>exedll.txt & fc dll.txt

dll0.txt>exedll.txt,其意思為使用FC命令比較兩次的EXE檔案和DLL檔案,並將比較結果儲存到exedll.txt檔案中。通過這種方法,我們就可以發現多出來的EXE和DLL檔案,並通過檔案大小,建立時間來判斷是否是DLL後門。


2,使用記憶體/模組工具來檢視程序呼叫的DLL檔案,比如Windows優化大師中的Windows 程序管理

2.5。這樣,可以發現程序到底呼叫了什麼DLL檔案,在結合上邊用FC命令比較出來的結果,又能進一步來確定是否中了DLL後門。如果沒有優化大師,可以使用TaskList,這個小工具也可以顯示程序呼叫的DLL檔案,而且還有原始碼,方便修改。


3,普通後門連線需要開啟特定的埠,DLL後門也不例外,不管它怎麼隱藏,連線的時候都需要開啟埠。我們可以用netstat

-an來檢視所有TCP/UDP埠的連線,以發現非法連線。大家平時要對自己開啟的埠心中有數,並對netstat

-an中的state屬性有所瞭解。當然,也可以使用Fport來顯示埠對應的程序,這樣,系統有什麼不明的連線和埠,都可以盡收眼底。


4,定期檢查系統自動載入的地方,比如:登錄檔,Winstart.bat,Autoexec.bat,win.ini,system.ini,wininit.ini,Autorun.inf,Config.sys等。其次是對服務進行管理,對系統預設的服務要有所瞭解,在發現有問題的服務時,可以使用Windows

2000 Server Resource

Kit中的SC來刪除。以上這些地方都可以用來載入DLL後門的Loader,如果我們把DLL後門Loader刪除了,試問?DLL後門還怎麼執行?!


通過使用上邊的方法,我想大多數DLL後門都可以"現形",如果我們平時多做一些備份,那對查詢DLL後門會起到事半功倍的效果。

<script> var g_spAnnony=true;var g_read=[ ["answer%5F0514","21f5616e737765725f303531348003","answer_0514"], ["lee99kang","261d6c656539396b616e679203","lee99kang"], ["%D7%ED%B0%AE%CA%D3%C6%B5","39acd7edb0aecad3c6b57b01","醉愛視訊"],{}];g_read.length=g_read.length-1;var _rh1="";var _rh2="";function wrreader(){ _rh1 += '<table width="100%" ><tr>'; _rh2+='<tr>'; if(g_spAnnony){ _rh1+='<td align="center" width="10%" ><img border="0" width="55" height="55" src="http://img.baidu.com/hi/img/portraitn.jpg"></td>'; _rh2+='<td>&nbsp;</td>'; if(g_read.length>0){ _rh1+='<td align="left" width="12%">'; }else{ _rh1+='<td align="left" width="100%">'; } _rh1+="<a href='http://passport.baidu.com/?login&tpl=sp&tpl_reg=sp&u="+myref+"' target='_self'>登入</a>後,您就出現在這裡。</td>"; _rh2+='<td>&nbsp;</td>' } if(g_read.length==0){ if(!g_spAnnony){ _rh1+='<td align=left width="100%">最近還沒有登入使用者看過這篇文章……</td>'; _rh2+='<td>&nbsp;</td>'; } }else{ for(i=0,len=g_read.length;i<len;i++){ _rh1+='<td align="center" valign="bottom" width="10%" class="user"><A href="http://blog.csdn.net/'+g_read[i][0]+'" target="_blank"><img border="0" src="http://himg.baidu.com/sys/portraitn/item/'+g_read[i][1]+'.jpg"></a></td>'; _rh2+='<td align="center" valign="top" class="user"><A href="http://blog.csdn.net/'+g_read[i][0]+'" target="_blank">'+g_read[i][2]+'</a></td>'; } } _rh1+='<td width="100%"></td></tr>'; _rh2+='<td></td></tr></table>'; document.write(_rh1+_rh2);}wrreader();</script>

相關推薦

no