DLL注入木馬是目前網路上十分流行的木馬形式,它就像是一個寄生蟲,木馬以DLL檔案的形式,寄宿在某個重要的系統 Process 中,通過宿主來調用DLL檔案,實現遠端控制的功能。這樣的木馬嵌入到系統 Process 中可以穿越防火牆,更讓人頭疼的是,用殺毒軟體進行查殺,殺軟即使報警提示發現病毒,但是也無法殺掉木馬病毒檔案,因為木馬DLL檔案正被宿主調用而無法刪除。下面我們把殺軟放到一邊,通過專用工具及其手工的方法來清除DLL木馬。
一、清除思路
1、通過系統工具及其第三方工具找到木馬的宿主 Process ,然後定位到木馬DLL文件。
2、結束被木馬注入的 Process 。
3、刪除木馬檔案。
4、登錄檔相關項的清除。
二、 清除方法
1、普通 Process DLL注入木馬的清除
有許多DLL木馬是注入到“iexplore.exe”和“explorer.exe”這兩個 Process 中的,對於注入這類普通 Process 的DLL木馬是很好清除掉的。
如果DLL檔案是注入到“iexplore.exe” Process 中,此 Process 就是IE流覽 Process ,那麼可以關掉所有IE視窗和相關程式,然後直接找到DLL檔案進行刪除就可以了。如果是注入到“explorer.exe” Process 中,那麼就略顯麻煩一些,因為此 Process 是用於顯示桌面和資源管理器的。當通過任務管理器結束掉“explorer.exe” Process 時,桌面無法看破到,此時桌面上所有圖示消失掉,“我的電腦”、“網上鄰居”等所有圖示都不見了,也無法打開資源管理器找到木馬檔案進行刪除了。怎麼辦呢?
如果木馬是插入了“svchost.exe”之類的關鍵 Process 中,就不能指望 Process 管理器來結束 Process 了,可能需要一些附加的工具卸載掉某個DLL檔案的調用。
IceSword的功能十分強大,可以利用它卸載掉已經插入到正在執行的系統 Process 中的DLL檔案。在IceSword的 Process 列表顯示視窗中,右鍵點擊DLL木馬宿主 Process ,選擇彈出功能表中的“模組資訊”命令打開DLL模組列表對話視窗。選擇可疑的模組後,點擊“卸載”按鈕即可將DLL木馬 Process 中刪除掉了。