一向以来,我们都觉得木马是以exe结尾的可履行文件,只要不运行exe为后缀的文件便可以了。但假定木马都这么等闲辩白,那就不克不及称为木马了。事实上有良多木马都不是以exe为后缀的,例如闻名的后门木马东西bits,就是一款dll后门,全部后门法度只有一个dll文件,但却可以实现很是可骇的结果。那么dll后门木马是若何运作的?我们又该若何断根dll后门木马呢?请看本文。
★dll后门木马的来历
dll(DynamicLinkLibrary)即系统的动态链接库文件。dll文件本身其实不成以运行,需要利用法度调用。当法度运行时,Windows将dll文件装进内存中,并寻觅文件中呈现的动态链接库文件。dll后门木马实际就是把一段实现了木马功能的代码加上一些特别代码写成dll文件。我们都知道正在运行的法度是不克不及封锁的,而dll后门木马会插进到这个利用法度的内存模块中,是以一样一样没法删除,这就是dll后门木马的高超的地方。
dll后门木马凡是只有一个文件,依托动态链接法度库,由某一个EXE作为载体,或利用Rundll32.exe来启动,插进到系统过程中,达到隐躲本身的目标。是以dll后门木马在隐躲手艺上比通俗木马有了质的飞跃,当然风险性也就大年夜大年夜增加了。
dll后门木马的运作编制
dll后门木马的风险首要分为两方面:1.埋没性,因为其可以“寄宿”于任一利用法度的过程,包含系统过程,是以我们很难发现其存在。2.难删除:上文中我们提到被dll后门木马插进的过程是没法结束的,是以要想断根其实不等闲。
我们来连络实际看看dll后门木马的利用和运作过程。bits是一款闻名的dll后门木马,其具有了dll后门木马的所有特点,没有过程,也不开启端口,觉得:埋没性很强,是dll后门木马的代表。
bits的安装
bits只有一个dll文件——bits.dll。点击“开端”→“运行”,输进“rundll32.exebits.dll,install<123456>”便可成功让bits进驻系统。
▲安装bits
bits的利用
假定运行bits的计较机IP地址为192.168.0.1,黑客可利用一款收集东西nc,在“号令提示符”中运行nc后输进号令“nc192.168.0.180”。回车后会发现没有回显,此时我们需要输进”才能号令bits。这条号令的感化是绑定一个shell到本机的777端口,此时黑客再连接方针主机的777端口便可以在方针计较机上履行肆意号令了。一般的dll后门木马都需要近似的安装和利用,觉得:当然比通俗木马要来得麻烦,可是威力是相昔时夜的。
▲连接bits开启后门
断根木马
bits的断根仍是比较简单的,起首运行注册表编纂器,定位到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRasAutoParameters,将ServiceDll的键值更改成“%SystemRoot%System32\rasauto.dll”便可,然后将系统目次system32文件夹下的bits.dll删除便可。
▲断根bits
dll后门木马的防备
1、当系统存在标题问题时,我们可以查看过程中的dll文件,找出隐躲在此中的dll后门木马。查看过程中的dll文件可利用Windows优化大年夜师的过程治理功能,点击过程后,鄙人方会呈现该过程中包含的dll文件,假定是系统过程,那么其dll文件的发行商都应当是“Microsoft”,不然就很有多是dll后门木马。找到dll后门木马后将过程结束,再按照路径将dll后门木马删除便可。
2、及时更新杀毒软件。dll后门木马当然和通俗木马不合,但仍然是木马,仍是可以被杀毒软件查杀的,只要我们及时进级杀毒软件病毒库,对防备dll后门木马仍是有很大年夜帮忙的。