|
|
网站建设 下载中心 社区论坛 信息公告 my小屋 | |
 |
联系我们 设为首页 加入收藏 |
 |
|
 |
首页 | 新闻资讯 | 编程开发 | 网页设计 | 图形图象 | 网络媒体 | 网站模板 | 数 据 库 | 投稿 论坛 | 操作系统 | 系统优化 | 网络安全 | 黑客技术 | 硬件学堂 | 硬件报价 | 服 务 器 | 地图 专题 | 应用软件 | 聊天通讯 | q q 专栏 | 建站经验 | 在线工具 | 站长club | 注 册 表 | 旧版 社会 | 游戏娱乐 | 设计欣赏 | 疑难解答 | 社区论坛 | 韩国素材 | 素材图库 | 广告服务 | 服务 |
 |
 |
 |
 当前位置:首页>>网络安全>>安全防范>>正文 |
新版上线![旧版] |  |
|||
注:打开慢时请稍等
恼人的dll后门完全清除秘诀http://www.iyit.net 日期:2006-11-21 13:17:16 来源: 点击: |
3,noir--queen noir--queen(守护者)是一个dll后门&木马程序,服务端以dll文件的形式插入到系统的lsass.exe进程里,由于lsass.exe是系统的关键进程,所以不能终止。在来介绍清除方法之前,我先介绍一下lsass.exe进程: 这是一个本地的安全授权服务,并且它会为使用winlogon服务的授权用户生成一个进程,如果授权是成功的,lsass就会产生用户的进入令牌,令牌使用启动初始 的shell。其他的由用户初始化的进程会继承这个令牌。 从上边的介绍我们就可以看出lsass对系统的重要性,那具体怎么清除呢?请看下文。 后门在安装成功后,会在服务中添加一个名为qosserver的服务,并把qosserver.dll后门文件插入到lsass进程当中,使其可以隐藏进程并自动启动(如图9)。现在我们打开注册表,来到hkey_local_machine/system/currentcontrolset/services/qosserver,直接删除qosserver键,然后重启。重启之后,我们在来到服务列表中,会看到qosserver服务还在,但没有启动,类别是自动,我们把他修改为"已禁用";然后往上看,会发现一个服务名为appcpi的服务,其可执行程序指向qosserver.exe(原因后边我会说到),具体如图11所示。我们再次打开注册表,来到hkey_local_machine/system/currentcontrolset/services/appcpi,删除appcpi键,重启,再删除qosserver,最后删除winnt/system32目录下的后门文件。 本人和这个后门"搏斗"了3个多小时,重启n次。原因在于即使删除了qosserver服务,后门还是在运行,而且服务列表中的qosserver服务又"死灰复燃"。后来才知道原因:在我删除了qosserver服务并重启之后,插入到lsass进程当中的qosserver.dll文件又恢复了qosserver服务,并且生成了另外一个服务,即appcpi,所以我们必须在到注册表中删除appcpi服务才算是把该后门清除。由此可以看出,现在的后门的保护措施,真是一环扣环。 注意:在删除qosserver服务并重启之后,恢复的qosserver的启动类别要修改为"已禁用",否则即便删除了appcpi服务,qosserver服务又运行了。 三,dll的防范 看了上边的例子,我想大家对清除dll后门的方法有了一定的了解,但在现实中,dll后门并不会使用默认的文件名,所以你也就不能肯定是否中了dll后门。对于dll后门,system32目录下是个好地方,大多数后门也是如此,所以这里要非常注意。下面我来具体介绍一下怎么发现dll后门,希望对大家有所帮助。 1,安装好系统和所有的应用程序之后,备份system32目录下的exe和dll文件:打开cmd,来到winnt/system32目录下,执行:dir *.exe>exe.txt & dir *.dll>dll.txt,这样,就会把所有的exe和dll文件备份到exe.txt和dll.txt文件中;日后,如发现异常,可以使用相同的命令再次备份exe和dll文件(这里我们假设是exe0.txt和dll0.txt),并使用:fc exe.txt exe0.txt>exedll.txt & fc dll.txt dll0.txt>exedll.txt,其意思为使用fc命令比较两次的exe文件和dll文件,并将比较结果保存到exedll.txt文件中。通过这种方法,我们就可以发现多出来的exe和dll文件,并通过文件大小,创建时间来判断是否是dll后门。 2,使用内存/模块工具来查看进程调用的dll文件,比如windows优化大师中的windows 进程管理 2.5。这样,可以发现进程到底调用了什么dll文件,在结合上边用fc命令比较出来的结果,又能进一步来确定是否中了dll后门。如果没有优化大师,可以使用tasklist,这个小工具也可以显示进程调用的dll文件,而且还有源代码,方便修改。 编辑: [发送给好友] [打印本页] [关闭窗口] [返回顶部] 上一篇:中了木马能够查的出来却杀不掉怎么办? 下一篇:没有了 转载请注明来源:www.iyit.net 特别声明: 本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载,但请务必注明出处和原始作者。文章版权归文章原始作者所有。对于被本站转载文章的个人和网站,我们表示深深的谢意。如果本站转载的文章有版权问题请联系编辑人员,我们尽快予以更正。 |
| 最新更新 | 热点排行 | 推荐新闻 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
 |
设置首 页 - 版权声明 - 广告服务 - 关于我们 - 联系我们 - 友情连接 |  |
| |||||||
易特网络技术