|
|
网站建设 下载中心 社区论坛 信息公告 my小屋 | |
 |
联系我们 设为首页 加入收藏 |
 |
|
 |
首页 | 新闻资讯 | 编程开发 | 网页设计 | 图形图象 | 网络媒体 | 网站模板 | 数 据 库 | 投稿 论坛 | 操作系统 | 系统优化 | 网络安全 | 黑客技术 | 硬件学堂 | 硬件报价 | 服 务 器 | 地图 专题 | 应用软件 | 聊天通讯 | q q 专栏 | 建站经验 | 在线工具 | 站长club | 注 册 表 | 旧版 社会 | 游戏娱乐 | 设计欣赏 | 疑难解答 | 社区论坛 | 韩国素材 | 素材图库 | 广告服务 | 服务 |
 |
 |
 |
 当前位置:首页>>网络安全>>安全防范>>正文 |
新版上线![旧版] |  |
|||
注:打开慢时请稍等
恼人的dll后门完全清除秘诀http://www.iyit.net 日期:2006-11-21 13:17:16 来源: 点击: |
提示: 在winnt/system32目录下,有一个dllcache文件夹,里边存放着众多dll文件(也包括一些重要的exe文件),在dll文件被非法修改之后,系统就从这里来恢复被修改的dll文件。如果要修改某个dll文件,首先应该把dllcache目录下的同名dll文件删除或更名,否则系统会自动恢复。 (3),动态嵌入式 这才是dll后门最常用的方法。其意义是将dll文件嵌入到正在运行的系统进程当中。在windows系统中,每个进程都有自己的私有内存空间,但还是有种种方法来进入其进程的私有内存空间,来实现动态嵌入式。由于系统的关键进程是不能终止的,所以这类后门非常隐蔽,查杀也非常困难。常见的动态嵌入式有:"挂接api""全局钩子(hook)""远程线程"等。 远程线程技术指的是通过在一个进程中创建远程线程的方法来进入那个进程的内存地址空间。当exe载体(或rundll32.exe)在那个被插入的进程里创建了远程线程,并命令它执行某个dll文件时,我们的dll后门就挂上去执行了,这里不会产生新的进程,要想让dll后门停止,只有让这个链接dll后门的进程终止。但如果和某些系统的关键进程链接,那就不能终止了,如果你终止了系统进程,那windows也随即被终止!!! 3,dll后门的启动特性 启动dll后门的载体exe是不可缺少的,也是非常重要的,它被称为:loader。如果没有loader,那我们的dll后门如何启动呢?因此,一个好的dll后门会尽力保护自己的loader不被查杀。loader的方式有很多,可以是为我们的dll后门而专门编写的一个exe文件;也可以是系统自带的rundll32.exe,即使停止了rundll32.exe,dll后门的主体还是存在的。3721网络实名就是一个例子,虽然它并不是"真正"的后门。 二,dll的清除 本节以三款比较有名的dll后门例,分别为"svchostdll.dll""bits.dll""qoserver.dll"。详细讲解其手工清除方法。希望大家在看过这三款dll后门的清除方法之后,能够举一反三,灵活运用,在不惧怕dll后门。其实,手工清除dll后门还是比较简单的,无非就是在注册表中做文章。具体怎么做,请看下文。 1,portless backdoor 这是一款功能非常强大的dll后门程序,除了可以获得local system权限的shell之外,还支持如"检测克隆帐户""安装终端服务"等一系列功能(具体可以参见程序帮助),适用windows2000/xp/2003等系统。程序使用svchost.exe来启动,平常不开端口,可以进行反向连接(最大的特点哦),对于有防火墙的主机来说,这个功能在好不过了。 在介绍清除方法之前,我们先来简单的介绍一下svchost.exe这个系统的关键服务: svchost只是做为服务的宿主,本身并不实现什么功能,如果需要使用svchost来启动服务,则某个服务是以dll形式实现的,该dll的载体loader指向svchost,所以,在启动服务的时候由svchost调用该服务的dll来实现启动的目的。使用svchost启动某个服务的dll文件是由注册表中的参数来决定的,在需要启动服务的下边都有一个parameters子键,其中的servicedll表明该服务由哪个dll文件负责,并且这个dll文件必须导出一个servicemain()函数,为处理服务任务提供支持。 呵呵!看了上边的理论,是不是有点蒙(我都快睡着了),别着急,我们来看看具体的内容(如图1)。从图1中,我们可以看到hkey_local_machine/system/currentcontrolset/services/rpcss下的parameters子键,其键值为%systemroot%/system32/rpcss.dll。这就说明:启动rpcss服务时。svchost调用winnt/system32目录下的rpcss.dll。 编辑: [发送给好友] [打印本页] [关闭窗口] [返回顶部] 上一篇:中了木马能够查的出来却杀不掉怎么办? 下一篇:没有了 转载请注明来源:www.iyit.net 特别声明: 本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载,但请务必注明出处和原始作者。文章版权归文章原始作者所有。对于被本站转载文章的个人和网站,我们表示深深的谢意。如果本站转载的文章有版权问题请联系编辑人员,我们尽快予以更正。 |
| 最新更新 | 热点排行 | 推荐新闻 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
 |
设置首 页 - 版权声明 - 广告服务 - 关于我们 - 联系我们 - 友情连接 |  |
| |||||||
易特网络技术