[轉貼]系統安全:剿清刪不掉的DLL木馬

godzilla

DLL注入木馬是目前網路上十分流行的木馬形式，它就像是一個寄生蟲，木馬以DLL檔案的形式，寄宿在某個重要的系統 Process 中，通過宿主來調用DLL檔案，實現遠端控制的功能。這樣的木馬嵌入到系統 Process 中可以穿越防火牆，更讓人頭疼的是，用殺毒軟體進行查殺，殺軟即使報警提示發現病毒，但是也無法殺掉木馬病毒檔案，因為木馬DLL檔案正被宿主調用而無法刪除。下面我們把殺軟放到一邊，通過專用工具及其手工的方法來清除DLL木馬。



　　一、清除思路



　　1、通過系統工具及其第三方工具找到木馬的宿主 Process ，然後定位到木馬DLL文件。



　　2、結束被木馬注入的 Process 。



　　3、刪除木馬檔案。



　　4、登錄檔相關項的清除。



　　二、 清除方法



　　1、普通 Process DLL注入木馬的清除



　　有許多DLL木馬是注入到“iexplore.exe”和“explorer.exe”這兩個 Process 中的，對於注入這類普通 Process 的DLL木馬是很好清除掉的。



　　如果DLL檔案是注入到“iexplore.exe” Process 中，此 Process 就是IE流覽 Process ，那麼可以關掉所有IE視窗和相關程式，然後直接找到DLL檔案進行刪除就可以了。如果是注入到“explorer.exe” Process 中，那麼就略顯麻煩一些，因為此 Process 是用於顯示桌面和資源管理器的。當通過任務管理器結束掉“explorer.exe” Process 時，桌面無法看破到，此時桌面上所有圖示消失掉，“我的電腦”、“網上鄰居”等所有圖示都不見了，也無法打開資源管理器找到木馬檔案進行刪除了。怎麼辦呢?



　　這時候可以在任務管理器中點擊功能表“檔案”→“新任務執行”，打開創建新任務對話方塊，點擊“流覽”挖通過流覽對話方塊就可以打開DLL檔案所在的路徑。然後選擇“檔案類型”為“所有檔案”，即可顯示並刪除DLL了。

   

    提示：如果你熟悉命令行(cmd.exe)的話，可以直接通過命令來清除，如：



　　taskkill /f /im explorer.exe



　　del C:\Windows\System32\test.dll



　　start explorer.exe



　　第一行是結束explorer.exe，第二回是刪除木馬檔案test.dll，第三行是重啟explorer.exe。

   2、使用IceSword卸載DLL檔案調用



　　如果木馬是插入了“svchost.exe”之類的關鍵 Process 中，就不能指望 Process 管理器來結束 Process 了，可能需要一些附加的工具卸載掉某個DLL檔案的調用。



　　IceSword的功能十分強大，可以利用它卸載掉已經插入到正在執行的系統 Process 中的DLL檔案。在IceSword的 Process 列表顯示視窗中，右鍵點擊DLL木馬宿主 Process ，選擇彈出功能表中的“模組資訊”命令打開DLL模組列表對話視窗。選擇可疑的模組後，點擊“卸載”按鈕即可將DLL木馬 Process 中刪除掉了。