|
|
网站建设 下载中心 社区论坛 信息公告 my小屋 | |
 |
联系我们 设为首页 加入收藏 |
 |
|
 |
首页 | 新闻资讯 | 编程开发 | 网页设计 | 图形图象 | 网络媒体 | 网站模板 | 数 据 库 | 投稿 论坛 | 操作系统 | 系统优化 | 网络安全 | 黑客技术 | 硬件学堂 | 硬件报价 | 服 务 器 | 地图 专题 | 应用软件 | 聊天通讯 | q q 专栏 | 建站经验 | 在线工具 | 站长club | 注 册 表 | 旧版 社会 | 游戏娱乐 | 设计欣赏 | 疑难解答 | 社区论坛 | 韩国素材 | 素材图库 | 广告服务 | 服务 |
 |
 |
 |
 当前位置:首页>>网络安全>>安全防范>>正文 |
新版上线![旧版] |  |
|||
注:打开慢时请稍等
恼人的dll后门完全清除秘诀http://www.iyit.net 日期:2006-11-21 13:17:16 来源: 点击: |
在来看看图2,这是注册表的hkey_local_machine/software/microsoft/windows nt/currentversion/svchost,里边存放着svchost启动的组和组内的各个服务,其中netsvcs组的服务最多。要使用svchost启动某个服务,则该服务名就会出现在hkey_local_machine/software/microsoft/windows nt/currentversion/svchost下。这里有四种方法来实现: 1, 添加一个新的组,在组里添加服务名 2, 在现有组里添加服务名 3, 直接使用现有组里的一个服务名,但是本机没有安装的服务 4, 修改现有组里的现有服务,把它的servicedll指向自己的dll后门 我测试的portless backdoor使用的第三种方法。 好了,我想大家看完了上边的原理,一定可以想到我们清除portless backdoor的方法了,对,就是在注册表的svchost键下做文章。好,我们现在开始。 注:由于本文只是介绍清除方法,使用方法在此略过。 后门的loader把svchostdll.dll插入svchost进程当中,所以,我们先打开windows优化大师中的windows进程管理2.5,查看svchost进程中的模块信息(如图3),从图3中我们可以看到,svchostdll.dll已经插入到svchost进程中了,在根据"直接使用现有组里的一个服务名,但是本机没有安装的服务"的提示,我们可以断定,在"管理工具"—"服务"中会有一项新的服务。图4证明了我的说法,此服务名称为:iprip,由svchost启动,-k netsvcs表示此服务包含在netsvcs服务组中。 我们把该服务停掉,然后打开注册表编辑器(开始—运行--regedit),来到hkey_local_machine/system/currentcontrolset/services/iprip下,查看其parameters子键(如图5)。program键的键值svchostdll.exe为后门的loader;servicedll的键值c:/winnt/system32/svchostdll.dll为调用的dll文件,这正是后门的dll文件。现在我们删除iprip子键(或者用sc来删除),然后在来到hkey_local_machine/software/microsoft/windows nt/currentversion/svchost下,编辑netsvcs服务组,把49 00 70 00 72 00 69 00 70 00 00 00删除,这里对应的就是iprip的服务名,具体如图6所示。然后退出,重启。重启之后删除winnt/system32目录下的后门文件即可。 2,bits.dll 这是榕哥的作品,也是dll后门,和svchostdll.dll原理基本一样,不过这里使用的是上边介绍的第四种方法,即"修改现有组里的现有服务,把它的servicedll指向自己的dll后门"。换句话说,该后门修改现有的某一个服务,把其原有服务的dll指向自己(也就是bits.dll),这样就达到了自动加载的目的;其次,该后门没有自己的loader,而是使用系统自带的rundll32.exe来加载。我们还是用windows 进程管理2.5来查看,从图7中,我们可以看到bits.dll已经插入到svchost进程当中。 好,现在我们来看看具体的清除方法,由于该后门是修改现有服务,而我们并不知道具体是修改了哪个服务,所以,在注册表中搜索bits.dll,最后在hkey_local_machine/system/currentcontrolset/services/rasauto下搜索到了bits.dll,查看parameters子键下的servicedll,其键值为c:/winnt/system32/bits.dll(如图8)。原来,该后门把rasauto服务原来的dll文件替换为bits.dll了,这样来实现自动加载。知道了原因就好办了,现在我们把servicedll的键值修改为rasauto服务原有的dll文件,即%systemroot%/system32/rasauto.dll,退出,重启。之后删除winnt/system32目录下的bits.dll即可。 编辑: [发送给好友] [打印本页] [关闭窗口] [返回顶部] 上一篇:中了木马能够查的出来却杀不掉怎么办? 下一篇:没有了 转载请注明来源:www.iyit.net 特别声明: 本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载,但请务必注明出处和原始作者。文章版权归文章原始作者所有。对于被本站转载文章的个人和网站,我们表示深深的谢意。如果本站转载的文章有版权问题请联系编辑人员,我们尽快予以更正。 |
| 最新更新 | 热点排行 | 推荐新闻 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
 |
设置首 页 - 版权声明 - 广告服务 - 关于我们 - 联系我们 - 友情连接 |  |
| |||||||
易特网络技术