一、dll型木马
[原理]
dll文件也被称为动态链接程序库。exe当程序运行时,会同时调用很多dll扩展功能的文件。此时,如果木马正确dll劫持图像,恶意注入系统文件或其他程序,可以窃取机密文件,篡改系统的关键位置,隐藏自己。dll木马可称为注入木马,也可称为图像劫持木马。
[特点]
任何病毒都可以制成dll类型,著名的极光病毒是一种集成蠕虫。免杀性高,隐蔽性强。反杀毒软件效率高。再生能力强,一般重新安装系统无法清除。除常规感染外,还可注入rar在其其他文件。
[各种常见的加载方法]
1.在系统中使用rundll32.exe加载。这意味着只把木马做成一个DLL注册表中的文件Run使用键值或其他可以由系统自动加载的地方Rundll32.exe自动启动。
2.替换系统DLL文件。它将实现后门功能的代码制系统匹配DLL文件,把原来的DLL文件更名。当应用程序要求原始文件时。DLL文件时,DLL后门启动转发功能,并启动"参数"传递给原来的DLL文件;如果遇到特殊的请求时,DLL后门开始启动和运行。
3.dll注入技术,即嵌入式。其意义是将DLL在正在运行的系统过程中嵌入文件。Windows在系统中,每个过程都有自己的私有内存空间,但仍有各种方法可以进入其过程的私有内存空间,以实现动态嵌入式。由于系统的关键过程无法终止,这种后门非常隐蔽,很难检查和杀死。常见的动态嵌入式包括:"挂接API""全局钩子(HOOK)""远程线程"等。
[着名dll后门木马]
lpk.dll/usp10.dll
SvchostDLL.dll
BITS.dll
QoServer.dll
二、exe木马病毒可木马病毒
[原理]
这个原则不能一般说。任何木马病毒都可以制成exe型,不同的exe木马有不同的原理和功能。
[特点]
直接以exe文件出现了。壳花等免杀处理经常进行,外观伪装。通常与各种正常软件捆绑在一起,或伪装成正常软件。除非被杀软件发现,否则操作后不会有任何迹象。如果免杀不当,很容易被主动防御拦截。因为它是一个可执行的文件,所以隐藏能力不强。一般来说,exe型木马主要用于盗号或作为间谍软件,也可作为下载者使用。dll病毒作为下载者,然后下载exe木马是一种常见的搭配。
[各种常见操作方法]
这个真的不好说。exe只是一种形式。.exe不能用来分类木马。当然,常用的是可以链接到常用软件来激活操作,也可以加载到注册表。此外,欺骗用户人工点击是最常用的方法。
[着名exe木马]
灰鸽类型远控木马
wow各种盗号程序
winlogon.exe
iexplore.exe
Explorer.exe
【编辑推荐】