为您找到与DLL木马相关的共2个结果:
在互联网飞速发展的时代里,电脑病毒同样也在发展,那么你们知道DLL木马怎么删除吗?下面是读文网小编整理的一些关于DLL木马怎么删除的相关资料,供你参考。
一,从DLL木马的DLL文件入手,我们知道system32是个捉迷藏的好地方,许多木马都削尖了脑袋往那里钻,DLL马也不例外,针对这一点我们可以在安装好系统和必要的应用程序后,对该目录下的EXE和DLL文件作一个记录:运行CMD--转换目录到system32--dir *.exe>exeback.txt& dir *.dll>dllback.txt,这样所有的EXE和DLL文件的名称都被分别记录到exeback.txt和dllback.txt中,日后如发现异常但用传统的方法查不出问题时,则要考虑是不是系统中已经潜入DLL木马了.这是我们用同样的命令将system32下的EXE和DLL文件记录到另外的exeback1.txt和dllback1.txt中,然后运行CMD--fc exeback.txt exeback1.txt>diff.txt & fc dllback.txt dllback1.txt>diff.txt.(用FC命令比较前后两次的DLL和EXE文件,并将结果输入到diff.txt中),这样我们就能发现一些多出来的DLL和EXE文件,然后通过查看创建时间、版本、是否经过压缩等就能够比较容易地判断出是不是已经被DLL木马光顾了。没有是最好,如果有的话也不要直接DLL掉,我们可以先把它移到回收站里,若系统没有异常反应再将之彻底删除或者提交给杀毒软件公司。
二、上文也曾提到一些系统关键进程是这类木马的最爱,所以一旦我们怀疑系统已经进驻了DLL木马,我们当然要对这些关键进程重点照顾了,怎么照顾?这里推荐一个强大的脱壳工具工具Procedump.exe他可以帮您看出进程到底调用了那些DLL文件(如图1)但是由于有的进程调用的DLL文件非常多,使得靠我们自己去一个核对变的不太现实,所以我们会用到一个shotgun写的NT进程/内存模块查看器ps.exe,用命令ps.exe /a /m >nowdlls.txt将系统目前调用地所有DLL文件地名称保存到nowdlls.txt,然后我们再用fc将之于事先备份dllback.txt比较一下,这样也能够缩小排查范围。
三、还记得木马的特征之一端口么?所有的木马只要进行连接,只要它接受/发送数据则必然会打开端口,DLL木马也不例外,这也为我们发现他们提供了一条线索,我们可以使用foundstone的进程端口查看工具Fport.exe来查看与端口对应的进程,这样可以将范围缩小到具体的进程,然后结合Procedump来查找DLL木马就比较容易了.当然有如上文提到的有些木马会通过端口劫持或者端口重用的方法来进行通信,139、80、1443、等常见端口则是木马的最爱。因为即使即使用户使用端口扫描软件检查自己的端口,发现的也是类似TCP UserIP:1026ControllerIP:80ESTABLISHED 的情况,稍微疏忽一点,您就会以为是自己在浏览网页(防火墙也会这么认为的)。所以光看端口还不够,我们要对端口通信进行监控,这就是第四点要说的。
四、我们可以利用嗅探器来了解打开的端口到底在传输些什么数据。通过将网卡设为混杂模式就可以接受所有的IP报文,嗅探程序可以从中选择值得关注的部分进行分析,剩下的无非是按照RFC文档对协议进行解码。这样就可以确定木马使用的端口。
五、通常说道查杀木马我们会习惯性地到注册表碰碰运气,以前可能还蛮有效的,但如果碰到注册为系统服务的木马(原理:在NT/2K/XP这些系统中,系统启动时会加载指定的服务程序)这时候检查:启动组/注册表/autoexec.bat/win.ini/sysytem.ini/wininit.ini/*.inf(例如autorun.inf)/config.sys等文件就发现不了丝毫的异样,这时候我们就应该查看一下系统服务了:右击我的电脑--管理--服务和应用程序--服务,这时您会看到100多个服务,,当然如果您以前曾经用导出列表功能对服务备份过,则用文件比较的方法会很容易发现哪些是外来客,这时您可以记录下服务加载的是那个文件,然后用Resource Kits里提供的srvinstw.exe来移除该服务并清除被加载的文件。
通过以上五步,基本能发现并清除狡猾的动态嵌入式DLL木马了,也许您也发现如果适当地做一些备份,会对我们的查找木马的过程有很大的帮助,当然也会减轻不少工作的压力
看过文章“DLL木马怎么删除"
浏览量:3
下载量:0
时间:
木马危害性大,但我们清理的方法也有很多,那么我们怎么通过系统权限来清理dll木马呢?下面由读文网小编给你做出详细的通过系统权限来清理dll木马介绍!希望对你有帮助!
相信大家对Dll木马都是非常熟悉了。它确实是个非常招人恨的家伙。它不像普通的exe木马那样便于识别和清理,这个家伙的隐蔽性非常强,它可以嵌入到一些如rundll32.exe,svchost.exe等正常的进程中去,让你找不到,即使找到了也难以清除,因为正常的进程正在调用它嘛。
我用的是mcafee的杀毒软件,比如说它现在报告
defds.dll:C: Documents and SettingsAdministratorLocal Settings Temp defds.dll删除失败
fdgeg.com:C:Windowsimefdgeg.com删除失败
那么可以知道defds.dll应该是个dll木马 我们可以通过冰刃icesword来查看系统的进程,找到调用该dll文件的进程 比如说是notepad.exe 我们可以先尝试着终止该进程 该进程如果终止后过不了多久又重新运行(而我并没有运行记事本)那么我们可以判定fdgeg.com就是notepad.exe的的守护进程 当它发现它所监视的notepad.exe进程被终止后会立刻将notepad.exe重新启用
现在我们可以:我的电脑-----工具----文件夹选项-----查看在高级设置的选项下去掉”简单文件共享”的钩子(我的电脑是XP操作系统,NTFS磁盘格式)
然后到C:Windo0wsime下找到fdgeg.com 右键选择属性 在属性中选择”安全” 单击”高级” 在弹出的窗口中使”从父项继承那些可以应用到子对象的权限项目,包括那些在此明确定义的项目”不被选中,再在弹出的窗口中单击”删除”,再依次单击”确定”。这样就没有任何用户可以使fdgeg.com工作了。
通过icesword终止notepad.exe 然后到C: Documents and SettingsAdministratorLocal Settings Temp中删除defds.dll 然后到C:Windowsime中再找到fdgeg.com 右键属性在属性中选择”安全” 单击”高级” 在弹出的窗口中选中”从父项继承那些可以应用到子对象的权限项目,包括那些在此明确定义的项目” 然后删除它即可
最后别忘了在注册表的启动项中将这个dll木马删除
这样 我们就彻底将这个讨厌的dll木马从我们的电脑中清除了。
看了“怎么样通过系统权限来清理dll木马”文章的还看了:
浏览量:3
下载量:0
时间: