完全查殺機器狗病毒的幾種方法介紹

　　DLL注入木馬是目前網(wǎng)絡(luò)上十分流行的木馬形式，它就像是一個寄生蟲，木馬以DLL文件的形式，寄宿在某個重要的系統(tǒng)進程中，通過宿主來調(diào)用DLL文件，實現(xiàn)遠程控制的功能。這樣的木馬嵌入到系統(tǒng)進程中可以穿越防火墻，更讓人頭疼的是，用殺毒軟件進行查殺，殺軟即使報警提示發(fā)現(xiàn)病毒，但是也無法殺掉木馬病毒文件，因為木馬DLL文件正被宿主調(diào)用而無法刪除。下面我們把殺軟放到一邊，通過專用工具及其手工的方法來清除DLL木馬。

　　一、清除思路

　　1、通過系統(tǒng)工具及其第三方工具找到木馬的宿主進程，然后定位到木馬DLL文件。

　　2、結(jié)束被木馬注入的進程。

　　3、刪除木馬文件。

　　4、注冊表相關(guān)項的清除。

cs.xzking.com/d/file/20150905/ecb89f7e3ec936cf3633405e0f59aee8.jpg' />

　　二、 清除方法

　　1、普通進程DLL注入木馬的清除 有許多DLL木馬是注入到“iexplore.exe”和“explorer.exe”這兩個進程中的，對于注入這類普通進程的DLL木馬是很好清除掉的。 如果DLL文件是注入到“iexplore.exe”進程中，此進程就是IE瀏覽進程，那么可以關(guān)掉所有IE窗口和相關(guān)程序，然后直接找到DLL文件進行刪除就可以了。如果是注入到“explorer.exe”進程中，那么就略顯麻煩一些，因為此進程是用于顯示桌面和資源管理器的。當通過任務(wù)管理器結(jié)束掉“explorer.exe”進程時，桌面無法看破到，此時桌面上所有圖標消失掉，“我的電腦”、“網(wǎng)上鄰居”等所有圖標都不見了，也無法打開資源管理器找到木馬文件進行刪除了。怎么辦呢? 這時候可以在任務(wù)管理器中點擊菜單“文件”→“新任務(wù)運行”，打開創(chuàng)建新任務(wù)對話框，點擊“瀏覽”挖通過瀏覽對話框就可以打開DLL文件所在的路徑。然后選擇“文件類型”為“所有文件”，即可顯示并刪除DLL了 提示：如果你熟悉命令行(cmd.exe)的話，可以直接通過命令來清除，如： taskkill /f /im explorer.exe del C:\Windows\System32\test.dll start explorer.exe 第一行是結(jié)束explorer.exe，第二回是刪除木馬文件test.dll，第三行是重啟explorer.exe

　　2、使用IceSword卸載DLL文件調(diào)用 如果木馬是插入了“svchost.exe”之類的關(guān)鍵進程中，就不能指望進程管理器來結(jié)束進程了，可能需要一些附加的工具卸載掉某個DLL文件的調(diào)用。 IceSword的功能十分強大，可以利用它卸載掉已經(jīng)插入到正在運行的系統(tǒng)進程中的DLL文件。在IceSword的進程列表顯示窗口中，右鍵點擊DLL木馬宿主進程，選擇彈出菜單中的“模塊信息”命令打開DLL模塊列表對話窗口。選擇可疑的模塊后，點擊“卸載”按鈕即可將DLL木馬進程中刪除掉了。 如果提示不能卸載的話，可以點擊“強行解除”按鈕，從進程中強行刪除該DLL調(diào)用。這時候就可以從“模塊文件名”欄中，得到DLL文件文件的路徑，然后到文件夾中將DLL木馬徹底刪除掉。

　　3、SSM終結(jié)所有DLL木馬 許多木馬都是注入到系統(tǒng)里關(guān)鍵進程中的，比如“svchost.exe”、“smss.exe”、“winlogon.exe”進程，這些進程使用普通方式無法結(jié)束，使用特殊工具結(jié)束掉進程或卸載掉進程中的DLL文件后，卻又很可能造成系統(tǒng)崩潰無法正常運行等。例如一款著名的木馬PCShare是注入“winlogon.exe”進程中的，該進程是掌握Windows登錄的，在使用IceSword卸載時系統(tǒng)立刻異常重啟，更本來不及清除dll文件，在重啟后dll木馬再次被加載。 對于這類dll木馬，必須在進程運行之前阻止dll文件的加載。阻止dll文件加載要用到一個強大的安全工具“System Safety Monitor”(簡稱SSM)。SSM是由俄羅斯出品的一款系統(tǒng)監(jiān)控軟件，通過監(jiān)視系統(tǒng)特定的文件和程序，達到保護系統(tǒng)安全的目的。這款軟件功能非常強大，可以很好地配合防火墻和殺毒軟件更好地保護系統(tǒng)的安全。 運行SSM，在程序界面中選擇“規(guī)則”選項卡，右鍵點擊中間規(guī)則列表空白處，選擇“新增”命令。彈出文件瀏覽窗口，選擇瀏覽文件類型為“庫文件”，在其中選擇指定文件路徑“C:\Windows\system32\rejoice.dll”。確定后，即可將DLL木馬文件添加到規(guī)則列表中，然后在界面下方的“規(guī)則”下拉列表中選擇“阻止(F2) 添加規(guī)則設(shè)置完畢后，點擊“應(yīng)用設(shè)置”按鈕，然后重啟系統(tǒng)。在重啟系統(tǒng)前要檢查SSM的設(shè)置，保證SSM隨系統(tǒng)啟動而加載運行。當系統(tǒng)重啟時，會自動阻止該進程調(diào)用rejoice.dll木馬文件。由于木馬文件沒有任何進程調(diào)用，所以就可以直接刪除了。 此外，我們還可以利用其它工具來清除DLL木馬后門，例如Tiny Personnal Firewall 2005(TPF)防火墻的“balcklist”禁止運行功能等，清除的原理都是一樣的，總之是在木馬DLL文件被調(diào)用之前，阻止其被進程加載，從而達到結(jié)束木馬進程并刪除木馬的目的。

　　4、通過系統(tǒng)權(quán)限法來清除DLL木馬 在Windows系統(tǒng)中，NTFS分區(qū)格式具有強大的文件限制設(shè)置功能，可以設(shè)置某個文件是否可以被程序調(diào)用訪問等。通過這個功能，我們一樣可以阻止木馬調(diào)用相應(yīng)的DLL文件，從而徹底地清除掉DLL木馬文件。 雙擊打開“我的電腦”，點擊菜單命令“工具”→“文件夾選項”→“查看”，在高級設(shè)置的選項卡下去掉“簡單文件共享”的選擇。 然后定位到無法刪除的DLL文件上，右鍵點擊該文件，在彈出菜單中選擇“屬性”命令，單擊“高級”按鈕，在彈出的窗口中去掉“從父項繼承那些可以應(yīng)用的到子對象的權(quán)限項目，包括那些在此明確定義的項目”不被選中(如圖5)。再在彈出的窗口中單擊“刪除”，再依次單擊“確定”。這樣就沒有任何用戶可以訪問和調(diào)用這個DLL木馬文件了。重新啟動系統(tǒng)就可以刪除該DLL文件了。

　　5、恢復(fù)系統(tǒng) 將DLL文件刪除后，還要到注冊表中找到所有與該DLL木馬關(guān)聯(lián)的項目，尤其是： HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices 等幾個與自動啟動有關(guān)的項目。 另外，DLL木馬不僅僅局限存在于Run、Runonce這些眾所周知的子鍵，而有可能存在于更多的地方。例如對于后門類的DLL來說“KnownDLLs”就是再好不過的藏身之處。在注冊表的“HEKY_LOCALMACHINE\SYSTEM\ControlSet001\Control\Session Manager\KnownDLLs”子鍵下，存放著一些已知DLL的默認路徑。假設(shè)DLL木馬修改或者增加了某些鍵值，那么DLL木馬就可以在系統(tǒng)啟動的時候悄無聲息地代替正常的DLL文件被加嵌入到相應(yīng)的進程中。

　　三、總結(jié) 總的來說，DLL木馬后門的種類極多，木馬選擇的注冊表選項及其系統(tǒng)進程也不盡相同。

　　清除DLL木馬的總體思路是這樣的： 在碰到DLL注入類木馬時，我們可以首先考慮用procexp之類的工具，查找出DLL類木馬的宿主進程。找到宿主進程后，如果是注入到普通可結(jié)束的進程中，可以直接將宿主進程結(jié)束后直接刪除木馬文件即可。 如果DLL木馬是注入到系統(tǒng)關(guān)鍵進程中的話，可以考慮用IceSword卸載DLL文件;如若失敗，那么直接用SSM建立規(guī)則或者通過阻止DLL文件的加載就可以了