小编带你一起揭开DLL木马的神秘面纱（转）

在这个万“马”奔腾的时代，网络上充斥着各种各样的木马，不过随着杀毒技术的进步和大家防毒意识的提高，传统木马已渐渐失去市场，而DLL木马则“与时俱进”以其强大的生命力，继续网络中“为非作歹”。因DLL木马的启动方式比较特别，它不象传统的木马，启动时会“傻傻”地在进程列表中暴露自己，而且还可以通过插入系统进程运行自己，具有很强的隐蔽性。本文就和大家一起来揭开DLL木马的神秘面纱。 　　一、初识DLL木马 　　首先了解一下DLL文件，DLL(Dynamic Link Library)是系统中的动态链接库文件，DLL文件本身并不能够运行，需要应用程序来调用。当程序运行时，Windows将其装入内存中，并寻找文件中出现的动态链接库文件。对于每个动态链接，Windows都会装入指定的DLL文件并把它映射到相应虚拟地址空间中。DLL木马实际就是把一段实现了木马功能的代码加上一些特殊代码写成DLL文件。DLL文件运行时是插入到应用程序的内存模块当中，所以DLL文件无法删除。 　　下面以一个实例说明DLL文件的运行，单击“开始→运行”并输入“rundll32.exe netplwiz.dll,UsersRunDll”，回车后会看到一个用户账户设置窗口，打开进程列表发现系统新增一个“rundll32.exe”进程，但是并不会发现DLL之类的进程，“netplwiz.dll,UsersRunDll”就是通过“rundll32.exe”来调用的，如果这是一个DLL木马，那么它启动后新增的进程就是正常的“rundll32.exe”，一般用户也不会将“rundll32.exe”中止或删除，而木马此时却可以在后台悄悄地“作恶”。 　　小提示 　　当然除了用“rundll32.exe”作为载体外，DLL木马还可以通过动态嵌入技术，通过任意一个系统进程进行加载。 　　二、查杀方法 　　前面介绍了DLL文件自身并不能运行，它必须通过其它程序调用才能“作恶”，主要有以下两种途径: 　　1.通过Rundl32l.exe启动的木马 　　木马运行如上所述，系统启动后若发现加载了“rundll32.exe”进程，那很可能就是中招了。不过系统也会调用“rundll32.exe”来加载正常的DLL文件，主要看加载的是什么DLL文件，因为木马大多是通过注册表键值来自启动。首先检查那些常见的自启动键值，如“3721”就是通过DLL文件来启动的，虽然它并不是木马，但是它的自启动和运行方式可以借鉴。它在注册表的[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]下，新添了一个“CnsMin”的键值，启动命令是“Rundll32.exe E:WINDOWSDOWNLO~1CnsMin.dll,Rundll32”。这样每次启动系统后“CnsMin.dll”都会被Rundll32.exe调用，而在进程列表出现的则是Rundl32.exe。此类DLL木马的运行过程大多如此，查杀方法是:首先将“rundll32.exe”进程终止，接着查找注册表各启动键值，从启动命令的路径中找到相应的DLL文件并删除即可。

来自 “ ITPUB博客 ” ，链接：http://blog.itpub.net/10294527/viewspace-124119/，如需转载，请注明出处，否则将追究法律责任。

转载于:http://blog.itpub.net/10294527/viewspace-124119/