随着计算机的发展,木马技术也在不停的发展,以冰河为首的老一代经典木马已经开始慢慢消失在经典木马行列中,取而代之的则是新一代的嵌入式木马,也就是通常所说的dll型注入式木马,其运用了动态嵌入技术,动态嵌入最常见的是最常见的是钩子、API以及远程线程技术,而现在大多
让病毒无法遁形 文件对比查杀嵌入式木马(上)
随着计算机的发展,木马技术也在不停的发展,以冰河为首的老一代经典木马已经开始慢慢消失在经典木马行列中,取而代之的则是新一代的嵌入式木马,也就是通常所说的dll型注入式木马,其运用了动态嵌入技术,动态嵌入最常见的是最常见的是钩子、API以及远程线程技术,而现在大多数的嵌入式木马都是运用远程线程技术把自己本身挂在一个正常的系统进程中,通常这一类木马清除起来比较困难。
嵌入式木马之迷
那到底什么是嵌入式dll型木马呢?DLL的代码和其他程序几乎没什么两样,仅仅是接口和启动模式不同,只要改动一下代码入口,DLL就变成一个独立的程序了。当然,DLL文件是没有程序逻辑的,这里并不是说DLL=EXE,不过,依然可以把DLL看做缺少了main入口的EXE,DLL带的各个功能函数可以看作一个程序的几个函数模块。DLL木马就是把一个实现了木马功能的代码,加上一些特殊代码写成DLL文件,导出相关的API,在别人看来,这只是一个普通的DLL,但是这个DLL却携带了完整的木马功能,而dll木马的标准执行入口为dllmain,dllmain包含了木马的运行代码,或者其指向木马的执行模块,在dll木马中通过在另一个进程中创建远程线程(RemoteThread)的方法进入那个进程的内存地址空间被称为“注入”,当载体在那个被注入的进程里创建了远程线程并命令它加载DLL时,木马就挂上去执行了,没有新进程产生,这就是嵌入式dll木马。
实战文件对比法
以上讲了这么多方法来揪出嵌入式木马,也许大家看着这些操作无从做起,以下我将给出文件对比的主要步骤。
◆应用环境◆
Windows2000 pro,d:/test文件夹的对比
{ad}◆实战流程◆
步骤一:进入d盘test文件夹,对test文件夹下内容进行记录,运行CMD--转换目录到d:/test--dir *.exe>exe.txt & dir *.dll>dll.txt,如下图所示:
这样我们就会在d:/test下生成exe和dll两个记事本文件,内容分别如下:
exe.txt文件:
驱动器 D 中的卷是 娱乐
卷的序列号是 6078-F043
D:\test 的目录
2005-12-0411:59a 26,772,480 dx81setup.exe
2005-12-0411:59a 473,600 g5setup解码.exe
2 个文件 27,246,080 字节
0 个目录 505,454,592 可用字节
dll.txt文件:
驱动器 D 中的卷是 娱乐
卷的序列号是6078-F043
D:\test 的目录
2005-03-3102:52a 36,924 php5apache.dll
2005-03-3102:52a 36,925 php5apache2.dll
2005-03-3102:52a 53,314 php5apache_hooks.dll
3 个文件 127,163 字节
0 个目录 505,454,592 可用字节
网友评论