嵌入式dll木马的发现_清除(以Explorer中嵌入dll 木马为例)

2024年1月19日发(作者：)

中小学电教·２００７６技术顾问嵌入式!""木马的发现&清除和防护☆汤永新嵌入式ｄｌｌ木马是一种难以发现、难以清除、危及系统安全和用户敏感信息的恶意软件，它利用先进的进程杀毒软件难项”。注意：ｄｌｌ木马模块的特征是“描述项”和“发行商项”为空白或非微软公司描述。但是，此时还并不能１００％断定该模块就是ｄｌｌ木马，有时用户安装的第三方正常的应用程序也会有如此特征（如：Ｗｉｎｒａｒ解压软件），此时只能确定系统进程中的可疑模块。然后，使用网络防火墙软件对可疑进程进行网络通信监视，以进一步确认———嵌入技术隐藏于计算机操作系统的进程中，以发现、清除和隔离，系统一旦感染，多数情况只能手工清除。本文详细阐述了嵌入式ｄｌｌ木马的发现、清除方法及防护策略。这主要是利用了ｄｌｌ木马必然要进行网络连接收发数据一、发现嵌入式ｄｌｌ木马由于嵌入式ｄｌｌ木马隐藏于其它正常进程中，因此，利用杀毒软件或Ｗｉｎｄｏｗｓ的任务管理器根本无法在进程列表中发现它，但是我们可以通过带有进程模块管理功能的工具、防火墙以及网络数据包捕获工具追踪到它的痕迹。以“Ｗｏｐｔｉ进程管理大师”为例。当可疑系统感染了嵌入式ｄｌｌ木马时，启动“进程管理大师”查看系统各进程调用模块列表中的每一模块的“描述项”和“发行商的特点。在被监视的进程访问网络时，防火墙就会自动提示用户：某进程要访问某网络地址，是否允许？用户此时先不要回答防火墙的提示，待启动Ｅｔｈｅｒｅａｌ程序、开启捕获功能后再切换到防火墙提示窗口，选择允许访问网络，打开防火墙的网络监视窗口，可以看到你的系统正在接受某网络地址传来的数据，记下该网络地址（这时杀毒软件可能报警）、文件名称和位置，等其传送结束后，再切换到Ｅｔｈｅｒｅａｌ的捕获窗口，停止捕获，从捕获到的数据ＥａｓｙＲｅｃｏｖｅｒｙＰｒｏｆｅｓｓｉｏｎａｌ６．０４后点击“ＤａｔａＲｅｃｏｖｅｒｙ”按钮，再点击右边窗口中的“ＥｍｅｒｇｅｎｃｙＤｉｓｋｅｔｔｅ”按钮，当出现急救盘制作向导窗口后将软盘插入软驱，然后相的功能按钮，不论是恢复数据还是恢复误格式化分区上的数据，其操作方法都是一样的。另外，前面说过ＥａｓｙＲｅｃｏｖｅｒｙＰｒｏｆｅｓｓｉｏｎａｌ６．０４可以继点击“Ｃｏｎｔｉｎｕｅ→Ｙｅｓ→Ｓｔａｒｔ→确定→Ｅｘｉｔ”等几个按钮即可完成急救盘的制作。恢复误格式化分区上的数据，但要获得好的恢复效果，必须保证该分区在格式化之后没有再写入数据：格式化硬盘时，计算机也只是将根目录区清零。由于删除与格式化操作只是在文件名或根目录名上做了一些手脚，件的数据部分没有丝毫变动，对于文２．在ＤＯＳ下恢复数据进入需要恢复数据的计算机的ＢＩＯＳ设置，将第一启动设备设置为软驱，然后利用所制作的急救盘引导系统这才给文件恢复提供了可进入ＤＯＳ版的ＥａｓｙＲｅｃｏｖｅｒｙＰｒｏｆｅｓｓｉｏｎａｌ６．０４。进入主界面后，点击“Ｎｅｘｔ”按钮，扫描后出现硬盘分区显示窗口，在此选中需要恢复的数据所在的硬盘分区。点击“Ｎｅｘｔ”之后进入设置窗口，可在此选择恢复的模式，一般用默认值，直接点击“Ｎｅｘｔ”。此后，软件会弹出一个提示窗口，点击“ＯＫ”进入恢复设置、选择窗口。选中需要恢复的文件，点击下面“Ｄｅｓｔｉｎａｔｉｏｎ”栏后面的“Ｂｒｏｗｓｅ”按钮，设置一个用来存放欲恢复数据的目录。注意，不能将被恢复数据存放在数据本身所在的那个分区。完成设置后，点击“Ｎｅｘｔ”，程序会弹出一个是否保存恢复报告的提示窗口，点击“Ｎｏ”，程序会将选中的文件恢复到指定的位置。能。如果在删除文件之后又对磁盘进行了写操作，那么新文件有可能会覆盖被删除文件原先所占据的硬盘空间，那么该文件就不能成功地恢复了。这也就是为什么当用户在使用Ｇｈｏｓｔ恢复系统时，如果误将镜像文件恢复到了错误的分区（例如：本来要恢复到Ｃ盘，却因误操作恢复到了Ｄ盘），此后想找回Ｄ盘原有数据将会非常困难的原因了———Ｄ盘不仅被Ｇｈｏｓｔ格式化了一次，还写入了数据，这使原来Ｄ盘的数据基本上被覆盖了，此时若想找回原来的数据自然相当困难。本人是在发现Ｇｈｏｓｔ错盘以后及时终止其运行才得以使数据得到恢复的。（作者单位：东明县第一中学，山东东明２７４５００）ＤＯＳ版的ＥａｓｙＲｅｃｏｖｅｒｙＰｒｏｆｅｓｓｉｏｎａｌ６．０４没有过多［编辑：咸彦平］

技术顾问窗口中查找到与前面记下的网络地址通信的数据包"如果其中包含的下载文件名与杀毒软件报警的文件名一致或包含有广告图片以及其它未知文件，那么就可以断定·２００７６中小学电教木马又会进入内存。有人建议使用ＩｃｅＳｗｏｒｄ中终止进程模块的功能，但笔者试验表明，此法并不是总能奏效。例如：ｄｌｌ木马嵌入了Ｅｘｐｌｏｒｅｒ．ｅｘｅ，如果使用ＩｃｅＳｗｏｒｄ终止网络防火墙所监视的进程中植入了嵌入式ｄｌｌ木马，通过资源管理器查找到相应的ｄｌｌ木马文件，记录下其文件名和路径。Ｅｘｐｌｏｒｅｒ．ｅｘｅ中嵌入的ｄｌｌ木马模块，将同时引起Ｅｘｐｌｏｒｅｒ出错并重启，Ｅｘｐｌｏｒｅｒ重启后，嵌入的ｄｌｌ木马再次被加载到内存。为了解决这类问题，我们可以采取下面五种方法（以清除Ｅｘｐｌｏｒｅｒ进程中的嵌入式ｄｌｌ木马为例）：其一，“命令行安全模式”清除法。重启计算机，在系统自检完毕后按Ｆ８键进入启动选项，选择“带命令行的安全模式”，注意：不能选“安全模式”，因为“安全模式”的界面仍是图形化的，仍会使二、清除嵌入式ｄｌｌ木马Ｗｉｎｄｏｗｓ操作系统不允许对正在运行的程序进行删除操作。因此，欲清除侵入系统的嵌入式ｄｌｌ木马，一般分三大步：首先，设法终止其嵌入的相关进程或使其没有被调入内存运行；其次，删除ｄｌｌ木马源文件；最后，清理ｄｌｌ木马在注册表中的相关项。系统的进程按其性质可以分为两大类：关键进程和非关键进程。非关键进程是指应用软件启动的进程，一般很容易被终止且不会造成系统崩溃，而关键进程是系统Ｅｘｐｌｏｒｅｒ被调入内存，从而加载ｄｌｌ木马模块。在“带命令行的安全模式”环境下，通过ｃｄ命令进入事先查到的含有ｄｌｌ木马文件的目录，使用ｄｅｌ命令删除ｄｌｌ木马文件。如果ｄｌｌ木马文件的属性是隐含、只读、系统属性，要先用系统、只读属性再行进行删除。重ａｔｔｒｉｂ命令清除其隐含、新启动操作系统，用ｒｅｇｅｄｉｔ命令查找到注册表中ｄｌｌ木马的所有相关项进行删除。注意：当ｄｌｌ木马嵌入的是正常运行所必须启动的程序，一般不允许被终止，除非利相应地清用专用软件强行终止，终止后系统会产生崩溃。除系统中的嵌入式ｄｌｌ木马也就可分为两种情况：一是ｄｌｌ木马嵌入了系统非关键进程的情况，二是ｄｌｌ木马嵌入了系统关键进程的情况，清除操作方法分述如下：Ｗｉｎｌｏｇｏｎ、ｃｓｒｓｓ、ｓｍｓｓ、ｌｓａｓｓ、ｓｅｒｖｉｃｅｓ这些进程时，上述方法不能奏效。因为，即使在命令行安全模式下，这些进程也是要被系统加载的。这时，可以使用下面的方法。其二，文件粉碎法。即利用文件粉碎工具进行删除。以“金山反间谍１．ｄｌｌ木马嵌入系统非关键进程的情况因为ｄｌｌ木马植入的是非关键进程，而非关键进程是可以被终止的，所以，我们可以先通过Ｗｉｎｄｏｗｓ任务管理器中的进程项列表找到该进程。用鼠标将焦点移至该进程，然后单击鼠标右键选择“结束进程”。系统弹出对话框后选择“是”，此时可以终止被嵌入ｄｌｌ木马的进程，然后再通过资源管理器找到该ｄｌｌ木马文件予以删除，最后，使用ｒｅｇｅｄｉｔ命令，在注册表中查找到该ｄｌｌ木马的相关项予以删除。至此就彻底删除了植入系统的该ｄｌｌ木马。在终止可疑进程时还可以使用ＩｃｅＳｗｏｒｄ软件。启动２００７”为例。在“金山反间谍２００７”软件的主界面中点击“文件粉碎器”按钮，弹出新窗口后点击“添加文件”按钮，填入已查明的ｄｌｌ木马模块文件的绝对路径，按“彻底删除”按钮。重启系统后，再在注册表中清除相关项。经过笔者试验，此法也不是１００％奏效。在使用此法失败时可以尝试下面的方法。其三，限制加载法。某些反间谍软件具有设置程序加载、运行规则的功能。以ＳＳＭ（ＳｙｓｔｅｍＳａｆｅｔｙＭｏｎｉｔｏｒ的简称）为例。在ＩｃｅＳｗｏｒｄ，在其“进程”列表中找到被嵌入ｄｌｌ木马的进程，然后单击鼠标右键选择“模块信息”，在新窗口的模块列表中找到木马的ｄｌｌ模块，选择“卸除”或“强行删除”。ｐｓｋｉｌｌ．ｅｘｅ或ｗｉｎｄｗｏｓｘｐ系统自带的ｔａｓｋｋｉｌｌ．ｅｘｅ或“Ｒｕｌｅｓ”选项卡下“Ａｐｐｌｉｃａｔｉｏｎｓ”选项卡的“ＯｂｊｅｃｔＮａｍｅ”窗口中，按键盘的“Ｉｎｓｅｒｔ”键，定位到已查明的嵌入式ｄｌｌ木马模块文件，按“Ｆ２”键对其设置“阻止”运行的规则。检查ＳＳＭ的设置，确保其随系统启动而加载。重新启动系统后，由于嵌入的ｄｌｌ木马没有被加载，因此可以直接对其进行删除操作，然后清理与其相关的注册表项。其四，文件权限法。根据笔者的试验，此法最为简单、有效。以下情况假定用户是以“ａｄｍｉｎｉｓｔｒａｔｏｒ”身份登录系统，且系统安装在ｎｔｓｄ．ｅｘｅ工具也有同样功能。以上方法只是针对ｄｌｌ木马只嵌入一个非关键进程的情况。如果ｄｌｌ木马嵌入了多个非关键进程并相互“守护”，上述终止进程的方法就不起作用了。这时，可以使用“Ｗｉｎｄｏｗｓ杀毒助手”或使用Ｗｉｎｄｏｗｓｘｐ系统自带的命令行工具ｔａｓｋｋｉｌｌ，达到一次终止多个进程的目的。２．ｄｌｌ木马嵌入系统关键进程的情况因为系统的关键进程不允许被终止，强行终止会造ＮＴＦＳ格式的磁盘上。直接通过“资源管理器”查找到ｄｌｌ木马模块文件，然后单击鼠标右键，选择“属性”，再单击成系统崩溃、重启，无法进行后续操作，一旦系统重启，ｄｌｌ

中小学电教·２００７６技术顾问了木马、病毒等恶意程序。第二，不浏览反动、色情网站。这类网站含有恶意代码的比率比较高，易被植入木马。第三，及时对杀毒软件、防火墙进行升级，及时更新系统补丁，经常性检查系统的关键进程中是否嵌入了不在访问这些网站时用户系统往往很容“安全”选项卡，把“组或用户名称”项下的用户或组列表全部删除，“确定”后退出，重启系统并以ａｄｍｉｎｉｓｔｒａｔｏｒ身份登录，此时由于ｄｌｌ木马模块无法被任何身份的用户访问，所以也不能被加载到内存，进入到ｄｌｌ木马藏身的绝对路径，对其进行获取权限的操作，获得权限后就可直接对其进行删除操作。最后，用ｒｅｇｅｄｉｔ命令清理注册表中的相关项即可。其五，光盘启动命令控制台修复法。此法主要针对监视了权限改变（禁止改变文件权限）的ｄｌｌ木马。用系统安装盘从光驱启动系统，选择“修复”项和“手动”修复，进入命令行控制台，登录系统。这时操作系统是从光盘启动的，不管ｄｌｌ木马是否嵌入到了明的ｄｌｌ模块，以及系统后台是否有未授权的对外网络连接。第四，信息中心这类部门要建立严格的安全管理制度，制定系统安全紧急预案，有条件的单位还应安装入侵检测系统，定期审计网络日志，及时发现、处理可疑情况。防火墙、防间谍软件３．务必安装杀毒软件、从间谍软件的入侵方式可以知道，尽管杀毒软件目ｗｉｎｌｏｇｏｎ、ｃｓｒｓｓ、ｓｍｓｓ、ｌｓａｓｓ、ｓｅｒｖｉｃｅｓ这些系统基本进程，系统都不会将ｄｌｌ木马调入内存进程中。进入ｄｌｌ木马文件的绝对路径，直接删除。重新从硬盘启动系统后，再从注册表中删除有关项。此法是最有效的方法，适用于以上不能删除ｄｌｌ木马的各种情况。前还不能直接查杀嵌入式ｄｌｌ木马，但它却可能堵住木马企图通过病毒侵入系统的途径。安装防火墙的道理也是一样。经过实验、试用，在防间谍软件中笔者推荐ＳＳＭ。ＳＳＭ是一款对系统进行全方位监测的防火墙工具，它不同于传统意义上的网络防火墙，它是针对操作系统内部三、防范嵌入式ｄｌｌ木马嵌入式ｄｌｌ木马隐藏得再严密也是一段计算机程序，也要借助于操作系统并受操作系统的种种限制。因此，它总会在系统中留下蛛丝马迹，并非深不可测，完全没有必要恐慌，但要引起足够的重视。根据笔者的经验，防范ｄｌｌ木马可以从以下三个方面着手：的存取管理进行控制，是一款防间谍软件，起到了系统防火墙的功能。该软件是一款偏向高端的安全软件，需要使用者有较高的操作系统及网络技术知识。其缺点是应用程序对系统的每一步访问都要通过用户来确认许可，如果用户对操作系统和网络技术不是很熟悉，选，用。总之，为了获得一个安全、稳定的系统，需要使用多种技术手段、树立综合治理的思想。一个系统有多少个环节，就有多少个安全因素，而这些因素之间是一个相乘的关容易造成误其结果不是放过恶意代码就是限制了系统的正常使１．不断学习计算机和网络新技术，提高自己的技术水平，增强应对系统安全事件的能力随着系统复杂程度的提高，从应用角度讲，掌握这些复杂系统的合理安全配置的难度也越来越大，这无疑会给用户的管理和使用带来更大的挑战。据国外系统安全研究机构测试统计，每１０００行的程序代码就会产生一个系，也就是说整个信息系统的总的安全水平取决于其中最薄弱的那个环节，认识到这一点对系统安全至关重要。ＢＵＧ，而像Ｗｉｎｄｏｗｓ２０００这个约有３５００万行至５０００万行的操作系统，其中会存在多少ＢＵＧ呢？可想而知！这些［参考文献］［１］潘勉，薛质，李建华，李生红．基于ＤＬＬ技术的特洛伊木马植入新方案［Ｊ］．计算机工程，２００４，（９）：第３０卷第１８期．ｂｕｇ都将有可能被黑客利用来攻击系统，如果不及时跟踪、了解、掌握最新的技术动向，当黑客们采用了最新的攻击技术时，以前所采取的安全措施将形同虚设，系统将毁于一旦。因此，要不断地学习新技术、跟踪新技术、掌握新技术，做到未雨绸缪，防患于未然。［２］张新宇，卿斯汉，马恒太，张楠，孙淑华，蒋建春．特洛伊木马隐藏技术研究［Ｊ］．通信学报，２００４，（７）：２５卷第７期．［３］潘勉，薛质，李建华，李生红．特洛伊木马植入综述［Ｊ］．信息安全与通信保密，２００４，（２）．２．要有系统安全意识和认真负责的态度没有安全意识就像有防盗门却没有关好，使安全投［４］李新国．特洛伊木马的判断清除及其防范［Ｊ］．计算机与网络，２００４，（１１）．［５］吴奇泽．特洛伊木马的实施技术和防范方法［Ｊ］．网络安全技术与应用，２００４，（９）．（作者单位：河北大学教育学院，河北保定０７１００２）资、安全设施形同虚设。据调查，大多数信息系统攻击事件都是由于使用人员缺乏安全意识造成的。为此，在实际使用中要做到：第一，不使用来历不明的软件。这类软件经常被捆绑［编辑：咸彦平］