動態嵌入式DLL木馬簡便發現與清除

　隨著MS的操作系統從Win98過渡到Winnt系統(包括2k/xp)，MS的任務管理器也一下子脫胎換骨，變得火眼金睛起來(在WINNT下傳統木馬再也無法隱藏自己的進程)，這使得以前在win98下靠將進程注冊為系統服務就能夠從任務管理器中隱形的木馬面臨前所未有的危機，所以木馬的開發者及時調整了開發思路，所以才會有今天這篇討論如何清除動態嵌入式DLL木馬的文章。

　　首先，我們來了解一下什麼是動態嵌入式木馬，為了在NT系統下能夠繼續隱藏進程，木馬的開發者們開始利用DLL(Dynamic Link Library動態鏈接庫)文件，起初他們只是將自己的木馬寫成DLL形式來替換系統中負責Win Socket1.x的函數調用wsock32.dll(Win Socket2中則由WS2_32.DLL負責)，這樣通過對約定函數的操作和對未知函數的轉發(DLL木馬替換wsock32.dll時會將之更名，以便實現日後的函數轉發)來實現遠程控制的功能。但是隨著MS數字簽名技術和文件恢復功能的出台，這種DLL馬的生命力也日漸衰弱了，於是在開發者的努力下出現了時下的主流木馬--動態嵌入式DLL木馬,將DLL木馬嵌入到正在運行的系統進程中.explorer.exe、svchost.exe、smss.exe等無法結束的系統關鍵進程是DLL馬的最愛，這樣這樣在任務管理器裡就不會出現我們的DLL文件，而是我們DLL的載體EXE文件.當然通過進一步的加工DLL木馬還可以實現另外的一些如端口劫持/復用(也就是所謂的無端口)、注冊為系統服務、開多線程保護、等功能。簡而言之，就是DLL木馬達到了前所未有的隱蔽程度。

　　那麼我們如何來發現並清除DLL木馬呢?

　　一，從DLL木馬的DLL文件入手，我們知道system32是個捉迷藏的好地方，許多木馬都削尖了腦袋往那裡鑽，DLL馬也不例外，針對這一點我們可以在安裝好系統和必要的應用程序後，對該目錄下的EXE和DLL文件作一個記錄:運行CMD--轉換目錄到system32--dir *.exe>exeback.txt& dir *.dll>dllback.txt,這樣所有的EXE和DLL文件的名稱都被分別記錄到exeback.txt和dllback.txt中,日後如發現異常但用傳統的方法查不出問題時,則要考慮是不是系統中已經潛入DLL木馬了.這是我們用同樣的命令將system32下的EXE和DLL文件記錄到另外的exeback1.txt和dllback1.txt中,然後運行CMD--fc exeback.txt exeback1.txt>diff.txt & fc dllback.txt dllback1.txt>diff.txt.(用FC命令比較前後兩次的DLL和EXE文件,並將結果輸入到diff.txt中),這樣我們就能發現一些多出來的DLL和EXE文件,然後通過查看創建時間、版本、是否經過壓縮等就能夠比較容易地判斷出是不是已經被DLL木馬光顧了。沒有是最好，如果有的話也不要直接DLL掉，我們可以先把它移到回收站裡，若系統沒有異常反應再將之徹底刪除或者提交給殺毒軟件公司。