Dll木馬像是一個寄生蟲以DLL文件的形式入駐用戶硬盤嵌入某個重要的系統進程中通過宿主來調用DLL文件實現遠程控制的功能這樣的木馬嵌入到系統進程中可以穿越防火牆更讓人頭疼的是用殺毒軟件進行查殺殺軟即使報警提示發現病毒但是也無法徹底清除木馬病毒文件因為木馬DLL文件正被宿主調用下面我們把殺軟放到一邊通過專用工具及其手工的方法來清除DLL木馬
一清除思路
通過系統工具及其第三方工具找到木馬的宿主進程然後定位到木馬DLL文件
結束被木馬注入的進程
刪除木馬文件
注冊表相關項的清除
二 清除方法
普通進程DLL注入木馬的清除
有許多DLL木馬是注入到iexploreexe和explorerexe這兩個進程中的對於注入這類普通進程的DLL木馬是很好清除掉的
如果DLL文件是注入到iexploreexe進程中此進程就是IE浏覽進程那麼可以關掉所有IE窗口和相關程序然後直接找到DLL文件進行刪除就可以了如果是注入到explorerexe進程中那麼就略顯麻煩一些因為此進程是用於顯示桌面和資源管理器的當通過任務管理器結束掉explorerexe進程時桌面無法看破到此時桌面上所有圖標消失掉我的電腦網上鄰居等所有圖標都不見了也無法打開資源管理器找到木馬文件進行刪除了怎麼辦呢?
這時候可以在任務管理器中點擊菜單文件→新任務運行打開創建新任務對話框點擊浏覽挖通過浏覽對話框就可以打開DLL文件所在的路徑然後選擇文件類型為所有文件即可顯示並刪除DLL了
提示如果你熟悉命令行(cmdexe)的話可以直接通過命令來清除如
taskkill /f /im explorerexe
del C:\Windows\System\testdll
start explorerexe
第一行是結束explorerexe第二回是刪除木馬文件testdll第三行是重啟explorerexe
使用IceSword卸載DLL文件調用
如果木馬是插入了svchostexe之類的關鍵進程中就不能指望進程管理器來結束進程了可能需要一些附加的工具卸載掉某個DLL文件的調用
IceSword的功能十分強大可以利用它卸載掉已經插入到正在運行的系統進程中的DLL文件在IceSword的進程列表顯示窗口中右鍵點擊DLL木馬宿主進程選擇彈出菜單中的模塊信息命令打開DLL模塊列表對話窗口選擇可疑的模塊後點擊卸載按鈕即可將DLL木馬進程中刪除掉了
如果提示不能卸載的話可以點擊強行解除按鈕從進程中強行刪除該DLL調用這時候就可以從模塊文件名欄中得到DLL文件文件的路徑然後到文件夾中將DLL木馬徹底刪除掉
SSM終結所有DLL木馬
許多木馬都是注入到系統裡關鍵進程中的比如svchostexesmssexewinlogonexe進程這些進程使用普通方式無法結束使用特殊工具結束掉進程或卸載掉進程中的DLL文件後卻又很可能造成系統崩潰無法正常運行等例如一款著名的木馬PCShare是注入winlogonexe進程中的該進程是掌握Windows登錄的在使用IceSword卸載時系統立刻異常重啟更本來不及清除dll文件在重啟後dll木馬再次被加載
對於這類dll木馬必須在進程運行之前阻止dll文件的加載阻止dll文件加載要用到一個強大的安全工具System Safety Monitor(簡稱SSM)SSM是由俄羅斯出品的一款系統監控軟件通過監視系統特定的文件和程序達到保護系統安全的目的這款軟件功能非常強大可以很好地配合防火牆和殺毒軟件更好地保護系統的安全
運行SSM在程序界面中選擇規則選項卡右鍵點擊中間規則列表空白處選擇新增命令彈出文件浏覽窗口選擇浏覽文件類型為庫文件在其中選擇指定文件路徑C:\Windows\system\rejoicedll確定後即可將DLL木馬文件添加到規則列表中然後在界面下方的規則下拉列表中選擇阻止(F)
添加規則設置完畢後點擊應用設置按鈕然後重啟系統在重啟系統前要檢查SSM的設置保證SSM隨系統啟動而加載運行當系統重啟時會自動阻止該進程調用rejoicedll木馬文件由於木馬文件沒有任何進程調用所以就可以直接刪除了
此外我們還可以利用其它工具來清除DLL木馬後門例如Tiny Personnal Firewall (TPF)防火牆的balcklist禁止運行功能等清除的原理都是一樣的總之是在木馬DLL文件被調用之前阻止其被進程加載從而達到結束木馬進程並刪除木馬的目的
通過系統權限法來清除DLL木馬
在Windows系統中NTFS分區格式具有強大的文件限制設置功能可以設置某個文件是否可以被程序調用訪問等通過這個功能我們一樣可以阻止木馬調用相應的DLL文件從而徹底地清除掉DLL木馬文件
From:http://tw.wingwit.com/Article/os/xtgl/201404/30359.html
