系统安全至上 剿清删不掉的DLL木马

然后定位到无法删除的DLL文件上，右键点击该文件，在弹出菜单中选择“属性”命令，单击“高级”按钮，在弹出的窗口中去掉“从父项继承那些可以应用的到子对象的权限项目，包括那些在此明确定义的项目”不被选中。再在弹出的窗口中单击“删除”，再依次单击“确定”。这样就没有任何用户可以访问和调用这个DLL木马文件了。重新启动系统就可以删除该DLL文件了。

5、恢复系统

将DLL文件删除后，还要到注册表中找到所有与该DLL木马关联的项目，尤其是：

　　HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
　　HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
　　HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices

等几个与自动启动有关的项目。

另外，DLL木马不仅仅局限存在于Run、Runonce这些众所周知的子键，而有可能存在于更多的地方。例如对于后门类的DLL来说“KnownDLLs”就是再好不过的藏身之处。在注册表的“HEKY_LOCALMACHINESYSTEMControlSet001ControlSession ManagerKnownDLLs”子键下，存放着一些已知DLL的默认路径。假设DLL木马修改或者增加了某些键值，那么DLL木马就可以在系统启动的时候悄无声息地代替正常的DLL文件被加嵌入到相应的进程中。

三、总结

总的来说，DLL木马后门的种类极多，木马选择的注册表选项及其系统进程也不尽相同。清除DLL木马的总体思路是这样的：

在碰到DLL注入类木马时，我们可以首先考虑用procexp之类的工具，查找出DLL类木马的宿主进程。找到宿主进程后，如果是注入到普通可结束的进程中，可以直接将宿主进程结束后直接删除木马文件即可。

如果DLL木马是注入到系统关键进程中的话，可以考虑用IceSword卸载DLL文件;如若失败，那么直接用SSM建立规则或者通过阻止DLL文件的加载就可以了。