防止黑客入侵：DLL后门完全清除方法(3)

中华网科技 http://tech.china.com 2006-07-13 13:38:22

【进入BBS】【进入聊天室】【 推荐给朋友 】【浏览字号：大 中 小】【关闭窗口】

　　
　　3，DLL后门的启动特性

　　启动DLL后门的载体EXE是不可缺少的，也是非常重要的，它被称为:Loader。如果没有Loader，那我们的DLL后门如何启动呢?因此，一个好的DLL后门会尽力保护自己的Loader不被查杀。Loader的方式有很多，可以是为我们的DLL后门而专门编写的一个EXE文件;也可以是系统自带的Rundll32.exe，即使停止了Rundll32.exe，DLL后门的主体还是存在的。3721网络实名就是一个例子，虽然它并不是"真正"的后门。

　　二、DLL的清除

　　本节以三款比较有名的DLL后门例，分别为"SvchostDLL.dll""BITS.dll""QoServer.dll"。详细讲解其手工清除方法。希望大家在看过这三款DLL后门的清除方法之后，能够举一反三，灵活运用，在不惧怕DLL后门。其实，手工清除DLL后门还是比较简单的，无非就是在注册表中做文章。具体怎么做，请看下文。

　　1，PortLess BackDoor

　　这是一款功能非常强大的DLL后门程序，除了可以获得Local System权限的Shell之外，还支持如"检测克隆帐户""安装终端服务"等一系列功能(具体可以参见程序帮助)，适用Windows2000/xp/2003等系统。程序使用svchost.exe来启动，平常不开端口，可以进行反向连接(最大的特点哦)，对于有防火墙的主机来说，这个功能在好不过了。

　　在介绍清除方法之前，我们先来简单的介绍一下svchost.exe这个系统的关键服务:

　　Svchost只是做为服务的宿主，本身并不实现什么功能，如果需要使用Svchost来启动服务，则某个服务是以DLL形式实现的，该DLL的载体Loader指向svchost，所以，在启动服务的时候由svchost调用该服务的DLL来实现启动的目的。使用svchost启动某个服务的DLL文件是由注册表中的参数来决定的，在需要启动服务的下边都有一个Parameters子键，其中的ServiceDll表明该服务由哪个DLL文件负责，并且这个DLL文件必须导出一个ServiceMain()函数，为处理服务任务提供支持。

　　呵呵!看了上边的理论，是不是有点蒙(我都快睡着了)，别着急，我们来看看具体的内容。HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRpcSs下的Parameters子键，其键值为%SystemRoot%system32rpcss.dll。这就说明:启动RpcSs服务时。Svchost调用WINNTsystem32目录下的rpcss.dll。

　　注册表的HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSvchost，里边存放着Svchost启动的组和组内的各个服务，其中netsvcs组的服务最多。要使用Svchost启动某个服务，则该服务名就会出现在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSvchost下。这里有四种方法来实现:

　　1， 添加一个新的组，在组里添加服务名

　　2， 在现有组里添加服务名

　　3， 直接使用现有组里的一个服务名，但是本机没有安装的服务

　　4， 修改现有组里的现有服务，把它的ServiceDll指向自己的DLL后门

　　我测试的PortLess BackDoor使用的第三种方法。

　　好了，我想大家看完了上边的原理，一定可以想到我们清除PortLess BackDoor的方法了，对，就是在注册表的Svchost键下做文章。好，我们现在开始。

　　注:由于本文只是介绍清除方法，使用方法在此略过。

首页 上页 | 1 | 2 | 3 | 4 | 5 | 下页 尾页  共 5 页

【发表评论】

作者：论坛　来源：

网页 新闻 音乐 图片 论坛