国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

移動(dòng)安全 安全管理 應(yīng)用案例 網(wǎng)絡(luò)威脅系統(tǒng)安全 應(yīng)用安全 數(shù)據(jù)安全 云安全
當(dāng)前位置: 主頁 > 信息安全 > 系統(tǒng)安全 >

只需一招 赤手空拳等閑斷根“dll后門木馬”

時(shí)間:2013-07-01 12:16來源:TuZhiJiaMi企業(yè)信息安全專家 點(diǎn)擊:
一向以來,我們都覺得木馬是以exe結(jié)尾的可履行文件,只要不運(yùn)行exe為后綴的文件便可以了。但假定木馬都這么等閑辯白,那就不克不及稱為木馬了。事實(shí)上有良多木馬都不是以exe為后綴的,
Tags系統(tǒng)安全(735)dll文件(2)清除木馬(1)ServiceDll(1)  

  一向以來,我們都覺得木馬是以exe結(jié)尾的可履行文件,只要不運(yùn)行exe為后綴的文件便可以了。但假定木馬都這么等閑辯白,那就不克不及稱為木馬了。事實(shí)上有良多木馬都不是以exe為后綴的,例如聞名的后門木馬東西bits,就是一款dll后門,全部后門法度只有一個(gè)dll文件,但卻可以實(shí)現(xiàn)很是可駭?shù)慕Y(jié)果。那么dll后門木馬是若何運(yùn)作的?我們又該若何斷根dll后門木馬呢?請(qǐng)看本文。

  ★dll后門木馬的來歷

  dll(DynamicLinkLibrary)即系統(tǒng)的動(dòng)態(tài)鏈接庫文件。dll文件本身其實(shí)不成以運(yùn)行,需要利用法度調(diào)用。當(dāng)法度運(yùn)行時(shí),Windows將dll文件裝進(jìn)內(nèi)存中,并尋覓文件中呈現(xiàn)的動(dòng)態(tài)鏈接庫文件。dll后門木馬實(shí)際就是把一段實(shí)現(xiàn)了木馬功能的代碼加上一些特別代碼寫成dll文件。我們都知道正在運(yùn)行的法度是不克不及封鎖的,而dll后門木馬會(huì)插進(jìn)到這個(gè)利用法度的內(nèi)存模塊中,是以一樣一樣沒法刪除,這就是dll后門木馬的高超的地方。

  dll后門木馬凡是只有一個(gè)文件,依托動(dòng)態(tài)鏈接法度庫,由某一個(gè)EXE作為載體,或利用Rundll32.exe來啟動(dòng),插進(jìn)到系統(tǒng)過程中,達(dá)到隱躲本身的目標(biāo)。是以dll后門木馬在隱躲手藝上比通俗木馬有了質(zhì)的飛躍,當(dāng)然風(fēng)險(xiǎn)性也就大年夜大年夜增加了。

  dll后門木馬的運(yùn)作編制

  dll后門木馬的風(fēng)險(xiǎn)首要分為兩方面:1.埋沒性,因?yàn)槠淇梢浴凹乃蕖庇谌我焕梅ǘ鹊倪^程,包含系統(tǒng)過程,是以我們很難發(fā)現(xiàn)其存在。2.難刪除:上文中我們提到被dll后門木馬插進(jìn)的過程是沒法結(jié)束的,是以要想斷根其實(shí)不等閑。

  我們來連絡(luò)實(shí)際看看dll后門木馬的利用和運(yùn)作過程。bits是一款聞名的dll后門木馬,其具有了dll后門木馬的所有特點(diǎn),沒有過程,也不開啟端口,覺得:埋沒性很強(qiáng),是dll后門木馬的代表。

  bits的安裝

  bits只有一個(gè)dll文件——bits.dll。點(diǎn)擊“開端”→“運(yùn)行”,輸進(jìn)“rundll32.exebits.dll,install<123456>”便可成功讓bits進(jìn)駐系統(tǒng)。

  ▲安裝bits

  bits的利用

  假定運(yùn)行bits的計(jì)較機(jī)IP地址為192.168.0.1,黑客可利用一款收集東西nc,在“號(hào)令提示符”中運(yùn)行nc后輸進(jìn)號(hào)令“nc192.168.0.180”?;剀嚭髸?huì)發(fā)現(xiàn)沒有回顯,此時(shí)我們需要輸進(jìn)”才能號(hào)令bits。這條號(hào)令的感化是綁定一個(gè)shell到本機(jī)的777端口,此時(shí)黑客再連接方針主機(jī)的777端口便可以在方針計(jì)較機(jī)上履行肆意號(hào)令了。一般的dll后門木馬都需要近似的安裝和利用,覺得:當(dāng)然比通俗木馬要來得麻煩,可是威力是相昔時(shí)夜的。

  ▲連接bits開啟后門

  斷根木馬

  bits的斷根仍是比較簡(jiǎn)單的,起首運(yùn)行注冊(cè)表編纂器,定位到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRasAutoParameters,將ServiceDll的鍵值更改成“%SystemRoot%System32\rasauto.dll”便可,然后將系統(tǒng)目次system32文件夾下的bits.dll刪除便可。

  ▲斷根bits

  dll后門木馬的防備

  1、當(dāng)系統(tǒng)存在標(biāo)題問題時(shí),我們可以查看過程中的dll文件,找出隱躲在此中的dll后門木馬。查看過程中的dll文件可利用Windows優(yōu)化大年夜師的過程治理功能,點(diǎn)擊過程后,鄙人方會(huì)呈現(xiàn)該過程中包含的dll文件,假定是系統(tǒng)過程,那么其dll文件的發(fā)行商都應(yīng)當(dāng)是“Microsoft”,不然就很有多是dll后門木馬。找到dll后門木馬后將過程結(jié)束,再按照路徑將dll后門木馬刪除便可。

  2、及時(shí)更新殺毒軟件。dll后門木馬當(dāng)然和通俗木馬不合,但仍然是木馬,仍是可以被殺毒軟件查殺的,只要我們及時(shí)進(jìn)級(jí)殺毒軟件病毒庫,對(duì)防備dll后門木馬仍是有很大年夜幫忙的。

相關(guān)文章
------分隔線----------------------------

推薦內(nèi)容