DLL后门清除完全篇
销售一部
------DLL后门清除完全篇
前言
后门!相信这个词语对您来说一定不会陌生,它的危害不然而欲,但随着人们的安全意识逐步增强,又加上杀毒软件的"大力支持",使传统的后门无法在隐藏自
己,任何稍微有点计算机知识的人,都知道"查端口""看进程",以便发现一些"蛛丝马迹"。所以,后门的编写者及时调整了思路,把目光放到了动态链接程
序库上,也就是说,把后门做成DLL文件,然后由某一个EXE做为载体,或者使用Rundll32.exe来启动,这样就不会有进程,不开端口等特点,
也就实现了进程、端口的隐藏。本文以"DLL的原理""DLL的清除""DLL的防范"为主题,并展开论述,旨在能让大家对DLL后门"快速上手",不
在恐惧DLL后门。好了,进入我们的主题。
一,DLL的原理
1,动态链接程序库
动态链接程序库,全称:Dynamic Link Library,简称:DLL,作用在于为应用程序提供扩展功能。应用程序想要调用DLL文件,需要
跟其进行"动态链接";从编程的角度,应用程序需要知道DLL文件导出的API函数方可调用。由此可见,DLL文件本身并不可以运行,需要应用程序调
用。正因为DLL文件运行时必须插入到应用程序的内存模块当中,这就说明了:DLL文件无法删除。这是由于Windows内部机制造成的:正在运行的程
序不能关闭。所以,DLL后门由此而生!
2,DLL后门原理及特点
把一个实现了后门功能的代码写成一个DLL文件,然后插入到一个EXE文件当中,使其可以执行,这样就不需要占用进程,也就没有相对应的PID号,也就
可以在任务管理器中隐藏。DLL文件本身和EXE文件相差不大,但必须使用程序(EXE)调用才能执行DLL文件。DLL文件的执行,需要EXE文件加
载,但EXE想要加载DLL文件,需要知道一个DLL文件的入口函数(既DLL文件的导出函数),所以,根据DLL文件的编写标准:EXE必须执行
DLL文件中的DLLMain()作为加载的条件(如同EXE的mian())。做DLL后门基本分为两种:1)把所有功能都在DLL文件中实现;2)
把DLL做成一个启动文件,在需要的时候启动一个普通的EXE后门。
常见的编写方法:
(1),只有一个DLL文件
这类后门很简单,只把自己做成一个DLL文件,在注册表Run键值或其他可以被系统自动加载的地方,使用Rundll32.exe来自动启
动。Rundll32.exe是什么?顾名思意,"执行32位的DLL文件"。它的作用是执行DLL文件中的内部函数,这样在进程当中,只会有
Rundll32.exe,而不会有DLL后门的进程,这样,就实现了进程上的隐藏。如果看到系统中有多个Rundll32.exe,不必惊慌,这证明
用Rundll32.exe启动了多少个的DLL文件。当然,这些Rundll32.exe执行的DLL文件是什么,我们都可以从系统自动加载的地方找
到。
现在,我来介绍一下Rundll32.exe这个文件,意思上边已经说过,功能就是以命令行的方式调用动态链接程序库。系统中还有一个
Rundll.exe文件,他的意思是"执行16位的DLL文件",这里要注意一下。在来看看Rundll32.exe使用的函数原型:
Void CALLBACK FunctionName (
HWND hwnd,
HINSTANCE hinst,
LPTSTR lpCmdLine,
Int nCmdShow
);
其命令行下的使用方法为:Rundll32.exe DLLname,Functionname [Arguments]
DLLname为需要执行的DLL文件名;Functionname为前边需要执行的DLL文件的具体引出函数;[Arguments]为引出函数的具
体参数。
(2),替换系统中的DLL文件
这类后门就比上边的先进了一些,它把实现了后门功能的代码做成一个和系统匹配的DLL文件,并把原来的DLL文件改名。遇到应用程序请求原来的DLL文
件时, DLL后门就启一个转发的作用,把"参数"传递给原来的DLL文件;如果遇到特殊的请求时(比如客户端),DLL后门就开始,启动并运行了。对
于这类后门,把所有操作都在DLL文件中实现最为安全,但需要的编程知识也非常多,也非常不容易编写。所以,这类后门一般都是把DLL文件做成一个"启
动"文件,在遇到特殊的情况下(比如客户端的请求),就启动一个普通的EXE后门;在客户端结束连接之后,把EXE后门停止,然后DLL文件进入"休
息"状态,在下次客户端连接之前,都不会启动。但随着微软的"数字签名"和"文件恢复"的功能出台,这种后门已经逐步衰落。
提示:
在WINNTsystem32目录下,有一个dllcache文件夹,里边存放着众多DLL文件(也包括一些重要的EXE文件),在DLL文件被非法修
改之后,系统就从这里来恢复被修改的DLL文件。如果要修改某个DLL文件,首先应该把dllcache目录下的同名DLL文件删除或更名,否则系统会
自动恢复。
北京-IT外包-出租网管-AD
应聘网管-北京AD
详见:
http://www.dfit.com.cn/jlb/jlbpic/view.asp?id=12
请索取详细资料!
单位:北京东方IT电脑救援俱乐部(真诚=服务+软件)
地址:北京市海淀区闵航路5号院(邮编:100089)
电话:010-51667043
手机:13146948557
投诉:010-88466977
联系:毛先生
网址:www.dfit.com.cn;www.dfit.net
E-mail: m...@dfit.net或df...@vip.bbn.cn
MSN: df...@vip.bbn.cn QQ:3255717
上门服务:
软硬件维修,综合布线,门禁与考勤,员工监控,
网站设计建设,网络管理,防黑客攻击,数据备份......
出租网管(IT外包):
出租兼职网管(30台以下电脑用户),出租专职
网管(30台以上),企事业单位IT外包服务(不限电脑)。
上门急送:微软、诺顿、Redhat linux 企业监控管理、电话
监控、速达ERP软件、SQL Server Autodesk等"万"种软件。
我们的客户遍京城
北京律师事务所知识成功案例 http://www.dfit.com.cn/jlb/jlbal/view.asp?id=32
北京世纪联盟文化发展有限公司 http://www.dfit.com.cn/jlb/jlbal/view.asp?id=164
北京百利森经济文化交流中心 http://www.dfit.com.cn/jlb/jlbal/view.asp?id=153
北京福星晓程电子科技股份有限公司 http://www.dfit.com.cn/jlb/jlbal/view.asp?id=135
北京爱劳高科技有限公司 http://www.dfit.com.cn/jlb/jlbal/view.asp?id=158
北京道原行广告有限公司 http://www.dfit.com.cn/jlb/jlbal/view.asp?id=166
北京蓝色极光展览有限公司 http://www.dfit.com.cn/jlb/jlbal/view.asp?id=165
健康每日传媒广告(北京)有限公司 http://www.dfit.com.cn/jlb/jlbal/view.asp?id=163
北大附小和我们的合作 http://www.dfit.com.cn/jlb/jlbal/view.asp?id=189
→更多签约客户和成功案例请见: http://www.dfit.com.cn/jlb/jlbal/default.asp
专业技术服务是我们的核心
追求卓越是我们的做事风范
超越客户满意是我们的目标
Providing professional technical support is our core
Seeking excellence is our code
Exceeding customer satisfaction is our aim
东方IT-真诚奉献每一天!
East IT-Devote each day to ...
地址:北京市海淀区闵航路5号院(邮编:100089)
Email:m...@dfit.net或df...@vip.bbn.cn
网站:www.dfit.com.cn
单位:东方IT电脑救援俱乐部
直线电话:010-88466977
手机:13146948557
电话:010-51667043转1015(一部)、1021(二部)、1016(三部)、1014(四部)、1006(五部)。
QQ:3255717
MSN:df...@vip.bbn.cn
本站产品搜索可通过: 软件 POS 防火墙 杀毒软件 IT外包 ERP IT服务 电脑培训 创业 风险投资 监控软件 网络监控软件 远程监控软
件 网络聊天监控软件破解软件 最新下载 qq聊天监控软件 MSN聊天监控软件破解软件 免费下载 邮件监控系统 企业管理软件 企业网络管理软件
企业办公管理软件 免费企业管理软件 企业网络监控软件 企业电脑监控软件 企业电脑管理软件 中小企业管理软件 网络管理软件下载 网络管理监控软
件 网络管理员软件 MSN聊天监控 Email监控 邮件监控 聊天监控软件下载 聊天记录监控软件 聊天监控软件下载 聊天监控软件功能 网络聊天
监控软件 聊天监控软件 聊天记录监控软件 聊天内容监控软件 电脑监控软件 局域网监控软件 网吧监控软件 网络管理软件 最好的监控软件下载 远程
监控软件下载 网络监控软件下载 qq监控软件 聊天记录 最新中文监控 电脑监控 屏幕监控软件 监控系统 远程监控系统 网络监控系统 即时监控
聊天监控 屏幕监控 上网监控 免费软件下载 网络管理 网管软件 网站建设 主页制作 电子商务 网络监控软件 综合布线 局域网上网监控软件 建立
自己的网站 自己建立网站 建立网站 做自己的网站 办公自动化 OA 免费自己做网站 北京虚拟主机 虚拟主机 IT外包服务 IT服务管理 it服
务公司 it增值服务 虚拟主机租用 it服务供应商 北京主机租用 IT咨询服务 虚拟主机系统 it客户服务 虚拟主机 it技术服务 企业it应
用服务 虚拟主机管理平台 网站推广 网站推广工具 如何注册域名 网络空间租赁 办公自动化软件 软件批发 办公自动化系统 ic卡会员管理 ic卡
会员管理系统 IC卡管理系统 ic管理软件 批发管理软件 电脑软件批发 正版软件批发 企业网站 邮件服务器 vpn 上网管理 宽带主机 网络服
务器 非接触式IC卡 ID卡 北京ic卡 IT外包 域名注册 空间租赁 企业网站建设 企业网站管理系统 电子邮件服务器 linux 邮件服务
器 VPN服务器 电话监控系统 电话监控软件 VPN产品 VPN设备 租赁空间 出租网管 网管出租 局域网上网管理软件 虚拟主机 主机托管 主
机租用 网站建设 网络工程师 销售工程师 虚拟主机管理软件 虚拟主机管理 网站空间租赁 主机 虚拟主机管理系统 SAP 用友 速达 微软产品
Windows Office Exchange SQL PhotoShop Symantec Norton 诺顿 Netscreen 东软
NetEye 天融信 中软 首信 趋势NVW 诺基亚 方正方域 联想网域 易尚 金盾 vpn型 瑞星 KV 金山毒霸 金山词霸
AutoCAD 微软件报价 图形图像软件 网络防毒软件 机械CAD产品 影视多媒体 设计可视化产品 LINUX系列软件 金山杀毒 熊猫卫士 金
蝶 园林辅助设计 多媒体教学软件 住房公积金 新闻采编管理软件 广告管理软件 方正 方正熊猫安全网关 启明星辰天清防垃圾邮件系统 卓尔
InfoGate EQManager邮件网关管理系统 KILL过滤网关 ThinkSEC反垃圾邮件网关 汉邦 网络监控审计 网络安全审计系统
网御神州 网站检测 自动修复 网站监护 综合管理系统 汉邦 剑鱼 苏富特 中软防火墙 安全管理系统 安信安全隔离与信息交换系统 国保金泰 金电
网安 联想网御 浪潮网泰 天行安全隔离网闸 网御神州 中网物理隔离网闸产品 安氏领信 方正入侵检测系统 华为三康 金诺网安入侵检测系统 入侵检
测系统 太极 亿阳网警 友讯 东方IT 东方艾替 数据恢复 卡巴斯基 顾问职责 网络规划 网络建设 网络管理 网站建设 储存和处理 网络安全
电子商务 虚拟专用网 企业资源计划 网络营销 网管职责 行业外包 专职网管 兼职网管 单次服务 硬件超市 软件超市 企业管理 网络建设 多媒
体 安全维护 信息应用 教育系统 政府部门 新闻出版 法律部门 电力系统 旅游宾馆 物流仓储 建筑房产 公共事业 商业贸易 石油化工 工商税
务 食品餐饮 新闻中心 信息化顾问 解决方案 成功案例 工作机会 网络故障 客户求助 技术答疑 信息录入 电脑救援 客户满意 网管上门 签订协
议 网络产品 网络设备 电那网络 高价回收 专业服务 电脑维修 电脑医院 电脑精修 电脑急修 财务软件 进销存 动态网站 二手电脑 软件开发
数据采集 短信群发 英文网站 路由器 交换机 防火墙 工作站 UPS 综合布线 ADSL 视频会议 网络摄像机 防火墙 工作站 机柜控制台 集
线器 光端机 VPN 安防监控 打印服务器 转换器 收发器 KVM VoIP网关 程控交换机 组网指南 评测试用 网络学院 技术指南 宽带应
用 方案案例 经销商 系统集成 系统安全 网管天地 操作系统 财务管理 开发软件 翻译软件 杀毒软件 安防入侵 OA自动化 办公软件 图像软
件 辅助设计 桌面工具 教学软件 网页制作 多媒体 软件加密 支票打印 通讯软件 收费系统 数据库及中间件 机房布线 网络存储 行业安全 企业
安全 电脑安全 维修中心 入侵检测 病毒防范 漏洞扫描 加密解密 访问控制 数据安全 系统安全 邮件安全 设备安全 CIO 信息化专家 中小企
业 安全审 网络监控 邮件监控 上网管理 msn聊天监控 上网监控 流量控制 网页监控 邮件备份 上网过滤 网页过滤 管理上网 BT控制 流量
控制 网络监视 上网监视 网络监测 邮件监测 监控MSN 监控QQ 限制上网 限制聊天 上网限制 聊天限制 控制上网 网络管理软件 网络管理程
序 限制QQ 限制MSN 封堵QQ 禁止MSN FTP监控 email监控 邮件管理 网络游戏控制 流量监控