我们一直认为木马是exe结尾的可执行文件,只要不运行exe后缀文件就可以了。但是如果木马这么容易辨别,就不能叫木马了。其实很多木马都不是用来的exe后缀,如著名的后门木马工具bits,就是一款dll后门,整个后门程序只有一个dll但是文件可以达到非常可怕的效果。dll后门木马是如何工作的?我们应该如何清除它?dll后门木马呢?请看这篇文章。
★dll后门木马的起源
dll(DynamicLinkLibrary)即系统动态链接库文件。dll文件本身不能运行,需要应用程序调用。Windows将dll将文件放入内存中,并在文件中找到动态链接库文件。dll后门木马实际上是用一些特殊代码写一段实现木马功能的代码dll文件。我们都知道正在运行的程序不能关闭,但是dll后门木马将插入该应用程序的内存模块,因此也不能删除,即dll后门木马的亮点。
dll后门木马通常只有一个文件,依靠动态链接程序库EXE作为载体,或使用Rundll32.exe启动并插入系统进程,以隐藏自己。dll后门木马在隐藏技术上比普通木马有质的飞跃,当然危害也大大增加。
dll后门木马的操作模式
dll后门木马的危害主要分为两个方面:1.隐蔽,因为它可以“寄宿”在任何应用程序的过程中,包括系统过程,都很难找到它的存在。2.很难删除:我们在上面提到的dll插入后门木马的过程无法结束,因此不容易清除。
让我们结合实际来看看dll使用和操作后门木马。bits是一个名字dll后门木马,它有dll后门木马的所有特点都没有过程,也没有打开端口,认为:隐蔽性很强,是的dll代表后门木马。
bits的安装
bits只有一个dll文件——bits.dll。点击“开始”→“运行”,输入“rundll32.exebits.dll,install<123456>”即可成功让bits进驻系统。
▲安装bits
bits的使用
假设运行bits的计算机IP地址为192.168.0.1,黑客可以使用网络工具nc,在“命令提示符”中运行nc后输入命令“nc192.168.0.180”。回车后,我们会发现没有回显。此时,我们需要输入”才能命令bits。这个命令的作用是绑定一个shell当黑客连接到目标主机的777端口时,可以在目标计算机上执行任何命令。dll后门木马需要类似的安装和使用,认为:虽然比普通木马麻烦,但力量相当大。
▲连接bits开启后门
清除木马
bits清除相对简单,首先运行注册表编辑器,定位到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRasAutoParameters,将ServiceDll键值改为“%SystemRoot%System32\rasauto.dll”然后将系统目录system32文件夹下的bits.dll删除即可。
▲清除bits
dll防止后门木马
1、当系统出现问题时,我们可以查看过程dll找出隐藏在其中的文件,找出文件dll后门木马。检查过程中的木马。dll可使用文件Windows优化大师的过程管理功能。点击过程后,将包含在下面的过程中dll如果文件是系统过程,那么它dll文件的发行商应该是“Microsoft”,否则很有可能是dll后门木马dll后门木马将完成过程,然后根据路径dll删除后门木马。
2、及时更新杀毒软件。dll虽然后门木马不同于普通木马,但它仍然是木马,只要我们及时升级杀毒软件病毒库,它仍然可以被杀毒软件杀死dll后门木马还是很有帮助的。
【编辑推荐】