蔡逸竹

[glow=255,red,2]最難清除木馬 DLL木馬揭秘[/glow]

從DLL技術說起

要瞭解DLL木馬，就必須知道這個「DLL」是什麼意思，所以，讓我們追溯到幾年前，DOS系統大行其道的日子裏。在那時候，寫程式是一件繁瑣的事情，因為每個程式的代碼都是獨立的，有時候為了實現一個功能，就要為此寫很多代碼，後來隨著編程技術發展，程式師們把很多常用的代碼集合（通用代碼）放進一個獨立的檔案裏，並把這個檔案稱為「庫」（Library），在寫程式的時候，把這個庫檔案加入編譯器，就能使用這個庫包含的所有功能而不必自己再去寫一大堆代碼，這個技術被稱為「靜態鏈結」（Static Link）。靜態鏈結技術讓勞累的程式師鬆了口氣，一切似乎都很美好。可是事實證明，美好的事物不會存在太久，因為靜態鏈結就像一個粗魯的推銷員，不管你想不想要宣傳單，他都全部塞到你的手上來。寫一個程式只想用到一個庫檔案包含的某個圖形效果，就因為這個，你不得不把這個庫檔案攜帶的所有的圖形效果都加入程式，留著它們當花瓶擺設，這倒沒什麼重要，可是這些花瓶卻把道路都阻塞了——靜態鏈結技術讓最終的程式成了大塊頭，因為編譯器把整個庫檔案也算進去了。
時代在發展，靜態鏈結技術由於天生的弊端，不能滿足程式師的願望，人們開始尋找一種更好的方法來解決代碼重複的難題。後來，Windows系統出現了，時代的分水嶺終於出現。Windows系統使用一種新的鏈結技術，這種被稱為「動態鏈結」（Dynamic Link）的新技術同樣也是使用庫檔案，微軟稱它們為「動態連結程式庫」——Dynamic Link Library，DLL的名字就是這樣來的。動態鏈結本身和靜態鏈結沒什麼區別，也是把通用代碼寫進一些獨立檔案裏，但是在編譯方面，微軟繞了個圈子，並沒有採取把庫檔案加執行緒式的方法，而是把庫檔案做成已經編譯好的程式檔案，給它們開個交換資料的介面，程式師寫程式的時候，一旦要使用某個庫檔案的一個功能函數，系統就把這個庫檔案調入記憶體，連接上這個程式佔有的任務執行緒，然後執行程式要用的功能函數，並把結果返回給程式顯示出來，在我們看來，就像是程式自己帶有的功能一樣。完成需要的功能後，這個DLL停止執行，整個調用過程結束。微軟讓這些庫檔案能被多個程式調用，實現了比較完美的共用，程式師無論要寫什麼程式，只要在代碼裏加入對相關DLL的調用聲明就能使用它的全部功能。最重要的是，DLL絕對不會讓你多拿一個花瓶，你要什麼它就給你什麼，你不要的東西它才不會給你。這樣，寫出來的程式就不能再攜帶一大堆垃圾了——絕對不會讓你把吃剩的東西帶回家，否則罰款，這是自助餐。
DLL技術的誕生，使編寫程式變成一件簡單的事情，Windows為我們提供了幾千個函數介面，足以滿足大多數程式師的需要。而且，Windows系統自身就是由幾千個DLL檔案組成，這些DLL相互扶持，組成了強大的Windows系統。如果Windows使用靜態鏈結技術，它的體積會有多大？我不敢想。

上面我們對DLL技術做了個大概分析，在裏面我提到了「介面」，這又是什麼呢？因為DLL不能像靜態庫檔案那樣塞執行緒式裏，所以，如何讓程式知道實現功能的代碼和檔案成了問題，微軟就為DLL技術做了標準規範，讓一個DLL檔案像乳酪一樣開了許多小洞，每個洞口都註明裏面存放的功能的名字，程式只要根據標準規範找到相關洞口就可以取得它要的美味了，這個洞口就是「應用程式介面」（Application Programming Interface），每個DLL帶的介面都不相同，盡最大可能的減少了代碼的重複。
用Steven的一句話：API就是一個工具箱，你根據需要取出螺絲刀、扳手，用完後再把它們放回原處。
在Windows裏，最基本的3個DLL文件是kernel32.dll、user32.dll、gdi32.dll。它們共同構成了基本的系統框架。

DLL與木馬

DLL是編譯好的代碼，與一般程式沒什麼大差別，只是它不能獨立執行，需要程式調用。那麼，DLL與木馬能扯上什麼關係呢？如果你學過編程並且寫過DLL，就會發現，其實DLL的代碼和其他程式幾乎沒什麼兩樣，僅僅是介面和啟動模式不同，只要改動一下代碼入口，DLL就變成一個獨立的程式了。當然，DLL檔案是沒有程式邏輯的，這裏並不是說DLL=EXE，不過，依然可以把DLL看做缺少了main入口的EXE，DLL帶的各個功能函數可以看作一個程式的幾個函數模組。DLL木馬就是把一個實現了木馬功能的代碼，加上一些特殊代碼寫成DLL檔案，導出相關的API，在別人看來，這只是一個普通的DLL，但是這個DLL卻攜帶了完整的木馬功能，這就是DLL木馬的概念。也許有人會問，既然同樣的代碼就可以實現木馬功能，那麼直接做程式就可以，為什麼還要多此一舉寫成DLL呢？這是為了隱藏，因為DLL執行時是直接掛在調用它的程式的執行緒裏的，並不會另外產生執行緒，所以相對於傳統EXE木馬來說，它很難被查到。

DLL的執行

雖然DLL不能自己執行，可是Windows在載入DLL的時候，需要一個入口函數，就如同EXE的main一樣，否則系統無法引用DLL。所以根據編寫規範，Windows必須查找並執行DLL裏的一個函數DllMain作為載入DLL的依據，這個函數不作為API導出，而是內部函數。DllMain函數使DLL得以保留在記憶體裏，有的DLL裏面沒有DllMain函數，可是依然能使用，這是因為Windows在找不到DllMain的時候，會從其他執行庫中找一個不做任何操作的缺省DllMain函數啟動這個DLL使它能被載入，並不是說DLL可以放棄DllMain函數。

DLL木馬技術分析

到了這裏，您也許會想，既然DLL木馬有那麼多好處，以後寫木馬都採用DLL方式不就好了嗎？話雖然是這麼說沒錯，但是DLL木馬並不是一些人想像的那麼容易寫的。要寫一個能用的DLL木馬，你需要瞭解更多知識。

1.木馬的主體
千萬別把木馬模組寫得真的像個API庫一樣，這不是開發WINAPI。DLL木馬可以導出幾個輔助函數，但是必須有一個過程負責主要執行代碼，否則這個DLL只能是一堆零碎API函數，別提工作了。
如果涉及一些通用代碼，可以在DLL裏寫一些內部函數，供自己的代碼使用，而不是把所有代碼都開放成介面，這樣它自己本身都難調用了，更不可能發揮作用。
DLL木馬的標準執行入口為DllMain，所以必須在DllMain裏寫好DLL木馬執行的代碼，或者指向DLL木馬的執行模組。

2.動態嵌入技術
Windows中，每個執行緒都有自己的私有記憶體空間，別的執行緒是不允許對這個私人領地進行操作的，但是，實際上我們仍然可以利用種種方法進入並操作執行緒的私有記憶體，這就是動態嵌入，它是將自己的代碼嵌入正在執行的執行緒中的技術。動態嵌入有很多種，最常見的是鉤子、API以及遠端線程技術，現在的大多數DLL木馬都採用遠端線程技術把自己掛在一個正常系統執行緒中。其實動態嵌入並不少見，羅技的MouseWare驅動就掛著每一個系統執行緒-_-
遠端線程技術就是通過在另一個執行緒中創建遠端線程（RemoteThread）的方法進入那個執行緒的記憶體位址空間。在DLL木馬的範疇裏，這個技術也叫做「注入」，當載體在那個被注入的執行緒裏創建了遠端線程並命令它載入DLL時，木馬就掛上去執行了，沒有新執行緒產生，要想讓木馬停止惟有讓掛接這個木馬DLL的執行緒退出執行。但是，很多時候我們只能束手無策——它和Explorer.exe掛在一起了，你確定要關閉Windows嗎？（圖2--DLL掛鉤）

3.木馬的啟動
有人也許會迫不及待的說，直接把這個DLL加入系統啟動專案不就可以了。答案是NO，前面說過，DLL不能獨立執行，所以無法在啟動項目裏直接啟動它。要想讓木馬跑起來，就需要一個EXE使用動態嵌入技術讓DLL搭上其他正常執行緒的車，讓被嵌入的執行緒調用這個DLL的DllMain函數，激發木馬執行，最後啟動木馬的EXE結束執行，木馬啟動完畢。
啟動DLL木馬的EXE是個重要角色，它被稱為Loader，如果沒有Loader，DLL木馬就是破爛一堆，因此，一個算得上成熟的DLL木馬會想辦法保護它的Loader不會那麼容易被毀滅。記得狼狽為奸的故事嗎？DLL木馬就是爬在狼Loader上的狽。
Loader可以是多種多樣的，Windows的rundll32.exe也被一些DLL木馬用來做了Loader，這種木馬一般不帶動態嵌入技術，它直接掛著rundll32執行緒執行，用rundll32的方法（rundll32.exe [DLL名],[函數] [參數]）像調用API一樣去引用這個DLL的啟動函數激發木馬模組開始執行，即使你殺了rundll32，木馬本體還是在的，一個最常見的例子就是3721中文實名，雖然它不是木馬。（圖3--啟動項）
登錄檔的AppInit_DLLs鍵也被一些木馬用來啟動自己，如求職信病毒。利用登錄檔啟動，就是讓系統執行DllMain來達到啟動木馬的目的。因為它是kernel調入的，對這個DLL的穩定性有很大要求，稍有錯誤就會導致系統崩潰，所以很少看到這種木馬。
有一些更複雜點的DLL木馬通過svchost.exe啟動，這種DLL木馬必須寫成NT-Service，入口函數是ServiceMain，一般很少見，但是這種木馬的隱蔽性也不錯，而且Loader有保障。

4.其他
到這裏大家也應該對DLL木馬有個瞭解了，是不是很想寫一個？別急，不知道大家想過沒有，既然DLL木馬這麼好，為什麼到現在能找到的DLL木馬寥寥無幾？現在讓我來潑冷水，最重要的原因只有一個：由於DLL木馬掛著系統執行緒執行，如果它本身寫得不好，例如沒有防止執行錯誤的代碼或者沒有嚴格規範用戶的輸入，DLL就會出錯崩潰。別緊張，一般的EXE也是這樣完蛋的，但是DLL崩潰會導致它掛著的程式跟著遭殃，別忘記它掛接的是系統執行緒哦，結局就是……慘不忍睹。所以寫一個能公佈的DLL木馬，在排錯檢查方面做的工作要比一般的EXE木馬多，寫得多了自己都煩躁……

訪客無法瀏覽此圖片或連結，請先 註冊 或 登入會員 。

請禮貌性的回覆帖子

"菜鳥托兒所 的家族標誌"

菜鳥托兒所開放新成員加入訪客無法瀏覽此圖片或連結，請先 註冊 或 登入會員 。

蔡逸竹

DLL木馬的發現和查殺

經常看看啟動項有沒有多出莫名其妙的專案，這是Loader的所在，只要殺了狼，狽就不能再狂了。而DLL木馬本體比較難發現，需要你有一定編程知識和分析能力，在Loader裏查找DLL名稱，或者從執行緒裏看多掛接了什麼陌生的DLL，可是對新手來說……總之就是比較難啊比較難，所以，最簡單的方法：殺毒軟體和防火牆（不是萬能藥，切忌長期服用）。


DLL木馬檢測與清除實例

　　守護者（NOIR—QUEEN）是一個典型的DLL木馬程式，其服務端以DLL檔案的形式插入到系統的Lsass.exe執行緒中。Lsass.exe執行緒是一個本地的安全授權服務，並且它會為使用Winlogon服務的授權用戶生成一個執行緒，如果授權是成功的，Lsass就會產生用戶的進入權杖。由於Lsass.exe是系統的關鍵執行緒，不能被終止，那麼我們該如何清除這樣的木馬呢？

　　守護者木馬入侵系統後，會在服務中添加一項名為「QoSserver」的服務，並將「QoSserver.dll」檔案插入到Lsass執行緒中，使其可以隱藏執行緒並自動啟動。我們利用「執行緒獵手」這樣的工具查看Lsass執行緒所調用的DLL檔案，並與木馬入侵前的資訊比較，可以發現Lsass執行緒中增加了「QoSserver.dll」文件。記錄下該檔案的具體位置，本例中為「C:\Windows\system32\QoSserver.dll」。

　　打開WindowsXP任務管理器，切換到「執行緒」選項卡中，結束「QoSserver.exe」執行緒，同時將系統目錄下的「QoSserver.exe」檔案刪除。然後執行Regedit，在登錄檔編輯器中依次展開[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\QoSserver]，直接刪除「QoSserver」項，重啟電腦。重啟之後，再將系統目錄下的「QoSserver.dll」檔案刪除。需要注意的是，如果前面未刪除「QoSserver.exe」檔案，而只刪除了QoSserver服務並重啟之後，插入到Lsass執行緒當中的「QoSserver.dll」又會生成另外一個名為「AppCPI」的服務。這時再次打開登錄檔編輯器，展開[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AppCPI]，刪除AppCPI項。如果QoSserver服務同時復活，則要將該服務的啟動類型改為「禁用」。重新啟動電腦後，再刪除系統目錄下的木馬檔案。

防範DLL木馬

　　1．安裝木馬查殺工具。對於多數人而言，要想通過手工查殺DLL木馬是不太現實的，因此安裝一款可以查殺此類木馬的反病毒軟體，是非常有必要的。這裏還要提醒讀者的是，應及時升級病毒資料庫，這樣才能保證有效地查殺絕大部分木馬病毒。當然，我們也可以在電腦中安裝那些專門針對木馬的查殺工具，例如木馬剋星。

　　2．查看是否有不明埠開放以及對埠通信進行監控。只要木馬進行連接，接受／發送資料則必然會打開埠，DLL木馬也不例外，我們可以通過「Netstat－ano」命令來查看TCP／UDP埠的連接，以及開放埠的執行緒識別字，也可以直接使用執行緒埠查看工具Fport.exe來查看與埠對應的執行緒，以發現是否有不明的連接和埠開放。另外，有些DLL木馬通過埠劫持或者埠重用的方法來進行通信，所以僅是查看埠還是不夠的，有必要的話，我們可使用嗅探器來瞭解打開的埠到底在傳輸些什麼資料。

　　3．檢查系統目錄下是否有可疑的DLL檔案。安裝好系統和所有應用程式之後，可對系統目錄下System32資料夾中的EXE和DLL檔案作一記錄：在命令提示符下執行「dir＊.exe>bak1.txt＆dir＊.dll>bak2.txt」，將所有的EXE和DLL檔案資訊導出成TXT檔案保存。當日後發現異常時，可以使用相同的命令再次備份，並使用FC命令比較兩次的EXE文件和DLL文件。通過這種方法，我們可以發現可疑的EXE和DLL檔案，同時通過檔案的大小、創建時間來判斷是否為DLL木馬。

　　4．查看系統執行緒調用的DLL檔案。當我們懷疑有DLL木馬插入到系統執行緒，可以使用一些第三方執行緒工具來查看執行緒所調用的DLL檔案，然後進一步確認是否中了DLL木馬。此類查看工具有執行緒獵手、執行緒間諜等等。另外，我們也可以使用XP系統自帶的命令行工具TaskList，來顯示執行緒調用的DLL檔案，並將這些資訊導出成TXT檔案保存，以便隨時進行比較。

但我們就要利用這種木馬 因為他比較難查殺 所以\~~~~~~~~~~~~~~

DLL注入木馬如是說

  DLL庫鏈結檔案，是Windows系統中許多驅動和程式執行時必需的檔案。一般來說，這類檔案無法單獨執行，必須通過某個EXE檔案調用該DLL檔案，從而執行相應的功能。同時，當該EXE檔案正在執行時，調用的DLL檔案無法被刪除。正因為由於DLL檔案具有隱蔽性，並且很難刪除，因此目前許多流行的木馬程式都採用了DLL檔案方式進行安裝，將木馬DLL檔案載入到某個正常的系統執行緒中，從而達到隱藏木馬執行緒和保護木馬檔案的目的——這就是所謂的DLL注入式木馬。

  木馬是如何將DLL檔案進行載入的呢？這裏我們以一個駭客常用的DLL木馬「上興遠端控制木馬」為例進行講解。

  執行「上興木馬」後，點擊介面中「配置服務端」按鈕，打開服務端生成程式。在「DNS功能變數名稱解析更新IP」中輸入自己的IP位址或者動態DNS功能變數名稱，在安裝名稱中輸入生成的服務端DLL檔案名。木馬執行後，該DLL檔案將被注入到下面「宿主執行緒名」中指定的系統執行緒中，預設為「explorer.exe」。最後點擊生成按鈕，即可生成木馬檔案「rejoice_06.exe」。

將生成的木馬檔案傳播，當其他用戶執行後，就可以通過上興木馬遠控用戶端進行控制了。

警報，病毒無法清除

  如果系統中被植入了DLL木馬，將會出現什麼情況呢？

  首先，系統被駭客遠端控制，出現資料丟失等情況；其次，殺毒軟體會報警系統中有病毒，但是卻無法進行清除。例如，在電腦中執行了上面製作的上興遠控木馬後，筆者電腦上安裝的殺毒軟體提示發現病毒，但是在刪除DLL病毒檔案時卻失敗了。即使我們手工刪除病毒檔案，也會因為DLL檔案正在使用中，所以也無法徹底刪除。即使進入安全模式，得到的也是同樣的結果。

  另外，由於DLL木馬是插入到系統執行緒中的，因此通過任務管理器等執行緒工具，也無法發現任何木馬執行緒，這給木馬的清除帶來了很大的困難！

  無法刪除病毒檔案，無法查找到木馬執行緒，那麼到底該如何清除DLL注入式木馬呢？

無所遁形，揪出木馬藏身之所

  雖然木馬沒有自己的執行緒，但是有一個宿主執行緒，只要結束宿主執行緒，停止DLL檔案的調用，就可以刪除DLL檔案，進而清除木馬。因此，清除DLL木馬的第一步，就是找到木馬注入的宿主執行緒。那麼，如何才能找到木馬注入的宿主執行緒呢？且讓我們細細看來。

  以清除「上興遠控木馬」為例，從殺毒軟體的報警提示中已經知道木馬DLL檔案名為「rejoice.dll」。因此，就可以通過一些查看執行緒調用DLL檔案的執行緒管理工具，找到該檔案的宿主執行緒，此類工具很多，比如大名鼎鼎的ICESword。

  執行IceSword後，點擊左側邊欄「查看→執行緒」，就可以在其右側視窗中看到所有執行緒列表。右鍵點擊某執行緒，在彈出功能表中選擇「模組資訊」命令，即可看到該執行緒調用的所有DLL檔案。

提示：DLL注入式木馬通常是將DLL檔案，載入到explorer.exe、svchost.exe、winlogon.exe、iexplore.exe等系統執行緒中的。因此在查找DLL宿主檔案時，可以關閉其他無關的程式，然後依次檢查這幾個執行緒中的DLL檔案。

  不過一個一個的檢查系統執行緒，確實有些麻煩，如何才能快速的定位木馬的宿主執行緒呢？可以使用一款名為「procexp」的執行緒管理工具。執行procexp後，在程式介面中間顯示的是樹狀執行緒關係列表，下方是每個執行緒的詳細資訊。點擊功能表「Find→Find DLL」命令，打開DLL文件查找對話方塊，在「DLL Substring」中輸入要查找的關鍵字，這裏輸入剛才殺毒軟體掃瞄出的DLL檔案名「rejoice.dll」。然後點擊「Search」按鈕，在下方的列表中就可以看到該DLL檔案是被哪個執行緒調用的了。

  對於大部分DLL注入木馬，其注入到「iexplore.exe」和「explorer.exe」這兩個執行緒。對於這類普通執行緒的DLL木馬，清除將是非常方便的。

  如果DLL檔案是注入到「iexplore.exe」執行緒中，由於此執行緒就是IE流覽器執行緒，因此就需要先關掉所有IE視窗和相關程式，然後直接找到DLL檔案進行刪除就可以了。

  如果DLL檔案是注入到「explorer.exe」執行緒中，那麼就略顯麻煩一些。由於此執行緒用於顯示桌面和資源管理器，因此，當通過任務管理器結束掉「explorer.exe」執行緒時，桌面無法看到，桌面上所有圖示消失掉，"我的電腦"、"網上鄰居"等所有圖示都不見了，同時，也無法打開資源管理器找到木馬檔案進行刪除。怎麼辦呢？

  實際上，解決的方法也很簡單。在任務管理器中點擊功能表「檔案→新任務執行」，打開「創建新任務」對話方塊，點擊「流覽」按鈕，通過流覽對話方塊就可以打開DLL檔案所在的路徑。然後選擇「檔案類型」為「所有檔案」，即可顯示並刪除DLL檔案了。

  除了以上所說的注入普通執行緒的DLL木馬之外，還有許多木馬注入到系統裏關鍵執行緒中，比如svchost.exe、smss.exe、winlogon.exe執行緒。這些執行緒使用普通方式無法結束，使用特殊工具結束掉執行緒後，卻又很可能造成系統崩潰無法正常執行的情況。對於這些木馬，我們可以通過以下兩種方法進行清除。

1.使用IceSword卸載DLL檔案

  IceSword的功能十分強大，我們曾在以前作過介紹，在這裏，就可以利用它卸載掉已經插入到正在執行的系統執行緒中的DLL檔案。在IceSword的執行緒列表顯示視窗中，右鍵點擊DLL木馬宿主執行緒，選擇彈出命令「模組資訊」。在執行緒模組資訊對話方塊中找到DLL木馬文件，選擇檔案後點擊「強制解除」命令，即可將系統執行緒中的DLL木馬檔案卸載掉了

訪客無法瀏覽此圖片或連結，請先 註冊 或 登入會員 。

請禮貌性的回覆帖子

"菜鳥托兒所 的家族標誌"

菜鳥托兒所開放新成員加入訪客無法瀏覽此圖片或連結，請先 註冊 或 登入會員 。

蔡逸竹

卸載系統執行緒中的DLL木馬

2.SSM終結所有DLL木馬

  使用IceSword可以卸載大部分的DLL木馬檔案，但還有某些特殊木馬在卸載時，卻會造成系統崩潰重啟。例如一款著名的木馬PCShare採用了注入「winlogon.exe」執行緒的方式執行，由於該執行緒是掌握Windows登錄的，因此在使用IceSword卸載時，系統將會立即異常重啟，根本來不及清除掉DLL文件，在重啟後DLL木馬又被再次載入。對於這類DLL木馬，必須在執行緒執行之前阻止DLL檔案的載入。接下來，我們又要用到一款用於阻止DLL檔案載入的安全工具——「System Safety Monitor」（簡稱SSM）。

  提示：SSM是一款俄羅斯出品的系統監控軟體，通過監視系統特定的檔案（如登錄檔等）及應用程式，達到保護系統安全的目的。這款軟體功能非常強大，可以輔助防火牆和殺毒軟體更好的保護系統安全。

執行SSM，在程式介面中選擇「規則」選項卡，右鍵點擊中間規則列表空白處，選擇「新增」命令，彈出檔案流覽視窗，選擇流覽檔案類型為「DLL files」，在其中選擇指定檔案路徑「C:\Windows\system32\rejoice.dll」。點擊「確定」按鈕後，即可把「rejoice.dll」檔案添加到規則列表中，然後在介面下方的「規則」下拉清單中選擇「阻止（F2）」。完成添加規則設定後，點擊「應用設定」按鈕，後重啟系統。


提示：在重啟系統前請檢查SSM的設定，確保SSM隨系統啟動而載入執行。

  當系統重啟時，SSM就會自動阻止相關執行緒調用「rejoice.dll」木馬文件。這樣，該木馬檔案便不會被任何程式使用，在硬碟中找到它，直接刪除即可。

  DLL注入型木馬並不會感染其他檔案，只要結束木馬執行緒並刪除掉病毒檔案木馬，木馬就沒有任何危害性了。剩下的工作就是清除掉木馬在登錄檔和其他啟動檔案中留下的專案。方法很簡單，點擊「開始→執行」，輸入「regedit」命令，就會打開「登錄檔編輯器」，利用搜索功能，便可以清除木馬在登錄檔中留下的垃圾；輸入「mscnofig」命令，就可以打開系統配置實用程式，清除木馬在啟動檔案中的蹤影。

  編後：木馬選擇注入的系統執行緒也不盡相同。在碰到此類木馬時，我們可以首先考慮用procexp之類的工具，查找出DLL檔案的宿主執行緒。找到宿主執行緒後，如果是注入到普通可結束的執行緒中，可以直接將宿主執行緒終止後刪除DLL木馬檔案即可。如果DLL檔案是注入到系統關鍵執行緒中的話，可以考慮用IceSword卸載DLL檔案；如若失敗，那麼直接用SSM建立規則，阻止DLL檔案的載入就可以了。

訪客無法瀏覽此圖片或連結，請先 註冊 或 登入會員 。

請禮貌性的回覆帖子

"菜鳥托兒所 的家族標誌"

菜鳥托兒所開放新成員加入訪客無法瀏覽此圖片或連結，請先 註冊 或 登入會員 。

㊣飛天神豬㊣

多謝大大的教學   好詳細   感激不盡   正好需要清除木馬

賴大尾

多謝大大的分享學到好多技巧感謝大大無私分享提供............

sswang

謝謝大大分享一些有關於作業系統中的知識！

阿龍

好多喔~讓我們瞭解好多東西喔~謝謝大大啦

wolf1986

請問要如何才能找到硬碟中現存的DLL木馬呢??
最近電腦CPU使用一直飆高耶

weiber82

之前有中毒過
真的是很慢
還要從安裝
謝謝大大的提供

lewin10f

好詳細 ,mayho mayho kamsahamnida