WEB开发网
开发学院操作系统Windows XP 系统安全至上 剿清删不掉的DLL木马 阅读

系统安全至上 剿清删不掉的DLL木马

 2008-03-07 09:21:33 来源:WEB开发网   
核心提示: 然后定位到无法删除的DLL文件上,右键点击该文件,系统安全至上 剿清删不掉的DLL木马(4),在弹出菜单中选择“属性”命令,单击“高级”按钮,如果DLL木马是注入到系统关键进程中的话,可以考虑用IceSword卸载DLL文件;如若失败,在弹出

然后定位到无法删除的DLL文件上,右键点击该文件,在弹出菜单中选择“属性”命令,单击“高级”按钮,在弹出的窗口中去掉“从父项继承那些可以应用的到子对象的权限项目,包括那些在此明确定义的项目”不被选中。再在弹出的窗口中单击“删除”,再依次单击“确定”。这样就没有任何用户可以访问和调用这个DLL木马文件了。重新启动系统就可以删除该DLL文件了。

5、恢复系统

将DLL文件删除后,还要到注册表中找到所有与该DLL木马关联的项目,尤其是:

  HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
  HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
  HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices

等几个与自动启动有关的项目。

另外,DLL木马不仅仅局限存在于Run、Runonce这些众所周知的子键,而有可能存在于更多的地方。例如对于后门类的DLL来说“KnownDLLs”就是再好不过的藏身之处。在注册表的“HEKY_LOCALMACHINESYSTEMControlSet001ControlSession ManagerKnownDLLs”子键下,存放着一些已知DLL的默认路径。假设DLL木马修改或者增加了某些键值,那么DLL木马就可以在系统启动的时候悄无声息地代替正常的DLL文件被加嵌入到相应的进程中。

三、总结

总的来说,DLL木马后门的种类极多,木马选择的注册表选项及其系统进程也不尽相同。清除DLL木马的总体思路是这样的:

在碰到DLL注入类木马时,我们可以首先考虑用procexp之类的工具,查找出DLL类木马的宿主进程。找到宿主进程后,如果是注入到普通可结束的进程中,可以直接将宿主进程结束后直接删除木马文件即可。

如果DLL木马是注入到系统关键进程中的话,可以考虑用IceSword卸载DLL文件;如若失败,那么直接用SSM建立规则或者通过阻止DLL文件的加载就可以了。

上一页  1 2 3 4 

Tags:系统 安全 至上

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接