像木马一样去战斗

开篇：润墨网以专业的文秘视角，为您筛选了一篇像木马一样去战斗范文，如需获取更多写作素材，在线客服老师一对一协助。欢迎您的阅读与分享！

如果你常看我们的病毒播报栏目，一定会在很多木马，病毒的介绍中看到“使用了线程插入技术”这类的描述，这个线程插入技术就是现在木马隐藏自身的常用手段之一。

在Window$文件大家族中，DLL是比较特殊的一种类型，它不是可执行文件，却可以完成可执行文件的功能。正是由于这种特特殊，越来越多的木马制造者把目光瞄上了DLL文件。

DLL木马的恶行

DLL木马通过其他进程调用(比如rundll32.exe，常常导致误杀“忠良”)，或者插入关键系统进程(比如插入Winlongon.exe，导致无法删除或强行终止进程后当机)。由于DLL木马隐藏在幕后作恶，这给系统安全带来很大的威胁。笔者近日就中招一个DLL木马，下面将查杀经验与大家分享。

1．杀毒报警，木马惊现

近日在一次例行的安全扫描中，笔者安装的Avast!突然发出报警声，程序提示发现“c:\Windows\system32\rundll.dll”木马，单击“删除”，杀毒软件提示无法删除病毒。

打开任务管理器，没有发现异常进程，找那个文件，删除时系统提示“文件正在使用，无法删除”。很明显，这就是一个插入了正常进程的DLL木马。

2．自己动手，揪出宿主进程

在系统中无法删除文件，大多数的原因是由于当前文件正被使用。DLL木马文件无法删除，显然是由于其插入系统进程所致。到底是哪个进程被注入木马?笔者借助系统自带的Tasklist命令查找。单击“开始一运行”，输入“emd.exe”打开命令行窗口。输入“tasklist/m＞k:\dll.txt”(不含外双引号，下同)，这个命令的作用是将当前活动进程加载的DLLl文件列表列出，同时输出到k:\dll.txt中。

启动记事本程序，打开“k:\dll.txt”，单击菜单栏的“编辑查找”，输入杀毒软件提示的病毒文件“rundll.dll”，单击“查找下一个”按钮后，我们可以发现系统的桌面进程(explorer.exe)加载了木马文件。也就是说木马插入了桌面进程。

3．卸载DLL杀木马

知道被注入的宿主进程后，我们可以使用“Inject DLL"将注入的DLI，文件卸载，从而删除木马文件。

Inject DLL是个命令行卸载工具(下载地址h11p:///pcd)，下载后将文件解压到k:\，启动命令提示符后，输入“idu exploreEexe rundll.d11/e”，当系统提示“DLL Jection suoessful!”，表示程序成功卸载DLL文件，现在就可以进入c:\Windows\system32，把DLL木马文件删除。

有些DLL木马还有一个监视进程，一旦发现注入的DLL木马被卸载，它会立刻重新插入。因此，当我们利用“InjectDLL”卸载木马后，如果仍然无法删除文件时，一定要打开任务管理器查看是否有异常监视进程。

像木马―样去战斗

除了DLL木马外，由于DLL文件的特殊性，一些应用软件也会借助DLL文件完成自身功能，可不要错杀此类文件哦。下面，我们介绍两个与隐身木马采用同样工作方式的实用工具。

1．资源管理侧边栏插件FindeXer

它是只有一个DLL文件的资源管理器侧边栏插件，先到微软官方下载网站(/downloads)通过搜索下载“MicrosoftVisualC十十2005 Redistributable Package(x86)”并安装好。然后到tomseffectcom/LessClix/FmdeXer/FmdeXer％20Nightly％20V1.1.0.30zip下载FindeXer运行其中的Register.bal注册Findexer.DLL文件。

现在，启动资源管理器，在菜单栏选择“查看浏览器栏FindeXer”，我们就可以在资源管理器打开一个新的侧边栏使用。

如果要卸载它，只要在开始菜单的运行框输入“regsvr32/u FindeXer.dll”卸载DLL文件即可。

2．让日期显示农历插件Winkld

这是一个可以让系统时间显示农历、天气预报插件。到/pcd下载dll并复制到“c:\Windows\system32”，单击“开始运行”，输入“regsvr32\s WinKld.dll”，重启系统后双击托盘中的系统时间，我们就看到显示的农历了，切换到“天气”标签，选择自已的城市还可以显示天气预报。卸载则输入“regsvr32/uWinKldll”命令。

大家可以看到，在运行这类DLL程序时，我们都要先用regsvr32.exe来加载。regsvr32.exe是32位系统下使用的DLL注册和反注册工具，使用它必须通过命令行的方式，通常可以用来加载一些系统控件，有时也用于修复系统故障。