後門!相信這個詞語對您來說一定不會陌生,它的危害不然而欲,但隨著人們的安全意識逐步增強,又加上殺毒軟件的"大力支持",使傳統的後門無法在隱藏自己,任何稍微有點計算機知識的人,都知道"查端口""看進程",以便發現一些"蛛絲馬跡"。所以,後門的編寫者及時調整了思路,把目光放到了動態鏈接程序庫上,也就是說,把後門做成DLL文件,然後由某一個EXE做為載體,或者使用Rundll32.exe來啟動,這樣就不會有進程,不開端口等特點,也就實現了進程、端口的隱藏。本文以"DLL的原理""DLL的清除""DLL的防范"為主題,並展開論述,旨在能讓大家對DLL後門"快速上手",不再恐懼DLL後門。好了,進入我們的主題。
一,DLL的原理
1,動態鏈接程序庫
動態鏈接程序庫,全稱:Dynamic Link Library,,簡稱:DLL,作用在於為應用程序提供擴展功能。應用程序想要調用DLL文件,需要跟其進行"動態鏈接";從編程的角度,應用程序需要知道DLL文件導出的API函數方可調用。由此可見,DLL文件本身並不可以運行,需要應用程序調用。正因為DLL文件運行時必須插入到應用程序的內存模塊當中,這就說明了:DLL文件無法刪除。這是由於Windows內部機制造成的:正在運行的程序不能關閉。所以,DLL後門由此而生!
2,DLL後門原理及特點
把一個實現了後門功能的代碼寫成一個DLL文件,然後插入到一個EXE文件當中,使其可以執行,這樣就不需要占用進程,也就沒有相對應的PID號,也就可以在任務管理器中隱藏。DLL文件本身和EXE文件相差不大,但必須使用程序(EXE)調用才能執行DLL文件。DLL文件的執行,需要EXE文件加載,但EXE想要加載DLL文件,需要知道一個DLL文件的入口函數(既DLL文件的導出函數),所以,根據DLL文件的編寫標准:EXE必須執行DLL文件中的DLLMain()作為加載的條件(如同EXE的mian())。做DLL後門基本分為兩種:1)把所有功能都在DLL文件中實現;2)把DLL做成一個啟動文件,在需要的時候啟動一個普通的EXE後門。
常見的編寫方法:
(1),只有一個DLL文件
這類後門很簡單,只把自己做成一個DLL文件,在注冊表Run鍵值或其他可以被系統自動加載的地方,使用Rundll32.exe來自動啟動。Rundll32.exe是什麼?顧名思意,"執行32位的DLL文件"。它的作用是執行DLL文件中的內部函數,這樣在進程當中,只會有Rundll32.exe,而不會有DLL後門的進程,這樣,就實現了進程上的隱藏。如果看到系統中有多個Rundll32.exe,不必驚慌,這證明用Rundll32.exe啟動了多少個的DLL文件。當然,這些Rundll32.exe執行的DLL文件是什麼,我們都可以從系統自動加載的地方找到。
現在,我來介紹一下Rundll32.exe這個文件,意思上邊已經說過,功能就是以命令行的方式調用動態鏈接程序庫。系統中還有一個Rundll.exe文件,他的意思是"執行16位的DLL文件",這裡要注意一下。在來看看Rundll32.exe使用的函數原型:
Void CALLBACK FunctionName (
HWND hwnd,
HINSTANCE hinst,
LPTSTR lpCmdLine,
Int nCmdShow
);
其命令行下的使用方法為:Rundll32.exe DLLname,Functionname [Arguments]
DLLname為需要執行的DLL文件名;Functionname為前邊需要執行的DLL文件的具體引出函數;[Arguments]為引出函數的具體參數。
(2),替換系統中的DLL文件
這類後門就比上邊的先進了一些,它把實現了後門功能的代碼做成一個和系統匹配的DLL文件,並把原來的DLL文件改名。遇到應用程序請求原來的DLL文件時, DLL後門就啟一個轉發的作用,把"參數"傳遞給原來的DLL文件;如果遇到特殊的請求時(比如客戶端),DLL後門就開始,啟動並運行了。對於這類後門,把所有操作都在DLL文件中實現最為安全,但需要的編程知識也非常多,也非常不容易編寫。所以,這類後門一般都是把DLL文件做成一個"啟動"文件,在遇到特殊的情況下(比如客戶端的請求),就啟動一個普通的EXE後門;在客戶端結束連接之後,把EXE後門停止,然後DLL文件進入"休息"狀態,在下次客戶端連接之前,都不會啟動。但隨著微軟的"數字簽名"和"文件恢復"的功能出台,這種後門已經逐步衰落。