Ⅰ 什麼樣才能徹底的查殺機器狗
DLL注入木馬是目前網路上十分流行的木馬形式,它就像是一個寄生蟲,木馬以DLL文件的形式,寄宿在某個重要的系統進程中,通過宿主來調用DLL文件,實現遠程式控制制的功能。這樣的木馬嵌入到系統進程中可以穿越防火牆,更讓人頭疼的是,用殺毒軟體進行查殺,殺軟即使報警提示發現病毒,但是也無法殺掉木馬病毒文件,因為木馬DLL文件正被宿主調用而無法刪除。下面我們把殺軟放到一邊,通過專用工具及其手工的方法來清除DLL木馬。 一、清除思路 1、通過系統工具及其第三方工具找到木馬的宿主進程,然後定位到木馬DLL文件。 2、結束被木馬注入的進程。 3、刪除木馬文件。 4、注冊表相關項的清除。 二、 清除方法 1、普通進程DLL注入木馬的清除 有許多DLL木馬是注入到「iexplore.exe」和「explorer.exe」這兩個進程中的,對於注入這類普通進程的DLL木馬是很好清除掉的。 如果DLL文件是注入到「iexplore.exe」進程中,此進程就是IE瀏覽進程,那麼可以關掉所有IE窗口和相關程序,然後直接找到DLL文件進行刪除就可以了。如果是注入到「explorer.exe」進程中,那麼就略顯麻煩一些,因為此進程是用於顯示桌面和資源管理器的。當通過任務管理器結束掉「explorer.exe」進程時,桌面無法看破到,此時桌面上所有圖標消失掉,「我的電腦」、「網上鄰居」等所有圖標都不見了,也無法打開資源管理器找到木馬文件進行刪除了。怎麼辦呢? 這時候可以在任務管理器中點擊菜單「文件」→「新任務運行」,打開創建新任務對話框,點擊「瀏覽」挖通過瀏覽對話框就可以打開DLL文件所在的路徑。然後選擇「文件類型」為「所有文件」,即可顯示並刪除DLL了 提示:如果你熟悉命令行(cmd.exe)的話,可以直接通過命令來清除,如: taskkill /f /im explorer.exe del C:\\Windows\\System32\\test.dll start explorer.exe 第一行是結束explorer.exe,第二回是刪除木馬文件test.dll,第三行是重啟explorer.exe 2、使用IceSword卸載DLL文件調用 如果木馬是插入了「svchost.exe」之類的關鍵進程中,就不能指望進程管理器來結束進程了,可能需要一些附加的工具卸載掉某個DLL文件的調用。 IceSword的功能十分強大,可以利用它卸載掉已經插入到正在運行的系統進程中的DLL文件。在IceSword的進程列表顯示窗口中,右鍵點擊DLL木馬宿主進程,選擇彈出菜單中的「模塊信息」命令打開DLL模塊列表對話窗口。選擇可疑的模塊後,點擊「卸載」按鈕即可將DLL木馬進程中刪除掉了。 如果提示不能卸載的話,可以點擊「強行解除」按鈕,從進程中強行刪除該DLL調用。這時候就可以從「模塊文件名」欄中,得到DLL文件文件的路徑,然後到文件夾中將DLL木馬徹底刪除掉。 3、SSM終結所有DLL木馬 許多木馬都是注入到系統里關鍵進程中的,比如「svchost.exe」、「smss.exe」、「winlogon.exe」進程,這些進程使用普通方式無法結束,使用特殊工具結束掉進程或卸載掉進程中的DLL文件後,卻又很可能造成系統崩潰無法正常運行等。例如一款著名的木馬PCShare是注入「winlogon.exe」進程中的,該進程是掌握Windows登錄的,在使用IceSword卸載時系統立刻異常重啟,更本來不及清除dll文件,在重啟後dll木馬再次被載入。 對於這類dll木馬,必須在進程運行之前阻止dll文件的載入。阻止dll文件載入要用到一個強大的安全工具「System Safety Monitor」(簡稱SSM)。SSM是由俄羅斯出品的一款系統監控軟體,通過監視系統特定的文件和程序,達到保護系統安全的目的。這款軟體功能非常強大,可以很好地配合防火牆和殺毒軟體更好地保護系統的安全。 運行SSM,在程序界面中選擇「規則」選項卡,右鍵點擊中間規則列表空白處,選擇「新增」命令。彈出文件瀏覽窗口,選擇瀏覽文件類型為「庫文件」,在其中選擇指定文件路徑「C:\\Windows\\system32\\rejoice.dll」。確定後,即可將DLL木馬文件添加到規則列表中,然後在界面下方的「規則」下拉列表中選擇「阻止(F2) 添加規則設置完畢後,點擊「應用設置」按鈕,然後重啟系統。在重啟系統前要檢查SSM的設置,保證SSM隨系統啟動而載入運行。當系統重啟時,會自動阻止該進程調用rejoice.dll木馬文件。由於木馬文件沒有任何進程調用,所以就可以直接刪除了。 此外,我們還可以利用其它工具來清除DLL木馬後門,例如Tiny Personnal Firewall 2005(TPF)防火牆的「balcklist」禁止運行功能等,清除的原理都是一樣的,總之是在木馬DLL文件被調用之前,阻止其被進程載入,從而達到結束木馬進程並刪除木馬的目的。 4、通過系統許可權法來清除DLL木馬 在Windows系統中,NTFS分區格式具有強大的文件限制設置功能,可以設置某個文件是否可以被程序調用訪問等。通過這個功能,我們一樣可以阻止木馬調用相應的DLL文件,從而徹底地清除掉DLL木馬文件。 雙擊打開「我的電腦」,點擊菜單命令「工具」→「文件夾選項」→「查看」,在高級設置的選項卡下去掉「簡單文件共享」的選擇。 然後定位到無法刪除的DLL文件上,右鍵點擊該文件,在彈出菜單中選擇「屬性」命令,單擊「高級」按鈕,在彈出的窗口中去掉「從父項繼承那些可以應用的到子對象的許可權項目,包括那些在此明確定義的項目」不被選中(如圖5)。再在彈出的窗口中單擊「刪除」,再依次單擊「確定」。這樣就沒有任何用戶可以訪問和調用這個DLL木馬文件了。重新啟動系統就可以刪除該DLL文件了。 5、恢復系統 將DLL文件刪除後,還要到注冊表中找到所有與該DLL木馬關聯的項目,尤其是: HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunServices 等幾個與自動啟動有關的項目。 另外,DLL木馬不僅僅局限存在於Run、Runonce這些眾所周知的子鍵,而有可能存在於更多的地方。例如對於後門類的DLL來說「KnownDLLs」就是再好不過的藏身之處。在注冊表的「HEKY_LOCALMACHINE\\SYSTEM\\ControlSet001\\Control\\Session Manager\\KnownDLLs」子鍵下,存放著一些已知DLL的默認路徑。假設DLL木馬修改或者增加了某些鍵值,那麼DLL木馬就可以在系統啟動的時候悄無聲息地代替正常的DLL文件被加嵌入到相應的進程中。 三、總結 總的來說,DLL木馬後門的種類極多,木馬選擇的注冊表選項及其系統進程也不盡相同。清除DLL木馬的總體思路是這樣的: 在碰到DLL注入類木馬時,我們可以首先考慮用procexp之類的工具,查找出DLL類木馬的宿主進程。找到宿主進程後,如果是注入到普通可結束的進程中,可以直接將宿主進程結束後直接刪除木馬文件即可。 如果DLL木馬是注入到系統關鍵進程中的話,可以考慮用IceSword卸載DLL文件;如若失敗,那麼直接用SSM建立規則或者通過阻止DLL文件的載入就可以了