寫在前面:很多人的系統(tǒng)經(jīng)常出現(xiàn)莫名其妙的問題,上網(wǎng)也經(jīng)常彈出各類奇怪的窗口,各類木馬病毒呈爆炸式的增長,大多是中了木馬或病毒所致,一直想寫一篇比較深入的關(guān)于dll插入型木馬病毒的原理,查殺與防范的文章,可惜囿于時(shí)間所限,一直也只是打腹稿,未能成型,五一回家終于有了時(shí)間,于是就有了這篇文章
? ?? ?? ?? ???
? ?深入淺出dll插入型木馬病毒的原理,查殺與防范? ?? ?? ?
? ?? ? 在文章開始前,我覺得有必要說明一些名詞,先列表如下
Rootkit:可能你對這個(gè)名詞并不太陌生,rising的卡卡上網(wǎng)助手的宣傳里就提到過采用很多Anti-rootkit技術(shù),那說明Rootkit肯定不是什么好東西,呵呵,其實(shí)這最早是個(gè)linux下的名詞,一般是指用來隱藏直接可獲得管理員權(quán)限的后門的技術(shù)工具,后來衍生到了win下。
dll:簡單說DLL 是一個(gè)包含可由多個(gè)程序同時(shí)使用的代碼和數(shù)據(jù)的庫,所以dll也叫動(dòng)態(tài)鏈接程序庫,當(dāng)exe程序運(yùn)行時(shí),會同時(shí)調(diào)用很多dll文件來實(shí)現(xiàn)擴(kuò)展功能。
dll插入:把一個(gè)實(shí)現(xiàn)了后門功能的代碼寫成一個(gè)DLL文件,然后插入到一個(gè)EXE文件當(dāng)中,使其可以執(zhí)行,這樣就不需要占用進(jìn)程,也就沒有相對應(yīng)的PID號,也就可以在任務(wù)管理器中隱藏。我們可以這樣理解,dll好比一個(gè)寄生蟲,而exe則是宿主,把dll注入到exe程序運(yùn)行的空間中,我們的dll才能活下來,一旦exe程序被終止,dll也隨之死去。
? ? 相信看了上面的列表,大家應(yīng)該對dll插入有了一個(gè)大概的影象,其實(shí)dll插入技術(shù)也叫“遠(yuǎn)程線程注入技術(shù)”,并不是什么很新鮮的玩意,屬于rootkit技術(shù)中的一種,而rootkit技術(shù)大致可分為ring0(內(nèi)核級別)和ring3(用戶級別)兩類,ring3下有很多技術(shù)如:遠(yuǎn)程線程注入技術(shù),hook api 技術(shù),端口復(fù)用技術(shù)等等,而要達(dá)到ring0級別的話,就要涉及到驅(qū)動(dòng)開發(fā)了,如果你想深入了解rootkit,可以去
www.rootkit.com上去看看。
? ? 假設(shè)我們已經(jīng)編好了dll中的相關(guān)代碼,那么如何讓它運(yùn)行呢,從開始我已經(jīng)提過,我們要找一個(gè)宿主,也就是一個(gè)exe進(jìn)程來加載我們的dll,而加載dll又可以分為以下幾種方式:
??
一:利用系統(tǒng)中的rundll32.exe加載經(jīng)常會有人在注冊表的啟動(dòng)項(xiàng)中會發(fā)現(xiàn)類似鍵值
rundll32.exe c:\temp\XXX.dll dllmain
那么是什么意思呢?,其實(shí)rundll32.exe這個(gè)程序顧名思義,運(yùn)行32位的dll程序,功能就是以命令行的方式調(diào)用動(dòng)態(tài)鏈接程序庫,其命令行下的使用方法為:
Rundll32.exe??dll的名字 調(diào)用的函數(shù)名
如果我們的dll中編寫了test()這個(gè)函數(shù),那么調(diào)用方式就是:Rundll32.exe??C:\dlltest.dll??test
這樣dll中的函數(shù)就得到運(yùn)行了。
二:替換系統(tǒng)中的DLL文件這可以說是上面的升級版了,它把實(shí)現(xiàn)了后門功能的代碼做成一個(gè)和系統(tǒng)匹配的DLL文件,并把原來的DLL文件改名。遇到應(yīng)用程序請求原來的DLL文件時(shí), DLL后門就啟一個(gè)轉(zhuǎn)發(fā)的作用,把"參數(shù)"傳遞給原來的DLL文件;如果遇到特殊的請求時(shí)(比如客戶端),DLL后門就開始,啟動(dòng)并運(yùn)行了,但是實(shí)現(xiàn)卻不太容易,所以沒有流行開來。
三:就是我們要說的dll注入技術(shù)了? ?? ?其意義是將DLL文件嵌入到正在運(yùn)行的系統(tǒng)進(jìn)程當(dāng)中。在Windows系統(tǒng)中,每個(gè)進(jìn)程都有自己的私有內(nèi)存空間,但還是有種種方法來進(jìn)入其進(jìn)程的私有內(nèi)存空間,來實(shí)現(xiàn)動(dòng)態(tài)嵌入式。
? ?? ? 有什么好處呢,首先是實(shí)現(xiàn)了隱藏,任務(wù)管理器中看不見我們的dll后門,其次windows和linux 不同,不能刪除正在運(yùn)行的程序,這就是為什么經(jīng)常刪東西時(shí)候會提示“xxx正在運(yùn)行,無法刪除。可能最重要的是可以穿透絕大多數(shù)防火墻了,設(shè)想防火墻肯定不會阻攔ie,那我們把dll插入ie進(jìn)程,不就穿透防火墻了嗎。
? ?
? ? 那么我們?nèi)绾螌?shí)現(xiàn)把dll注入到exe中呢?dll自己又沒長腿,呵呵,我們需要一個(gè)dlllorder.exe,再哪弄?自己寫唄,把代碼寫到dlllorder.exe中,只要運(yùn)行dlllorder.exe,相應(yīng)的dll文件就可以注入到任何程序中了。有了dlllorder就好辦了,只要能讓系統(tǒng)每次自動(dòng)啟動(dòng)dlllorder,后門的生存期就大大增長了,至于如何自啟動(dòng),有注冊表,服務(wù),BHO,activex,計(jì)劃任務(wù)等等,太多了,就不介紹了。
dll木馬的防范與清除對于第一類dll文件下次看到進(jìn)程中有rundll32.exe,則只要找到它調(diào)用的dll就可以kill掉隱藏的程序了
??
對于第三類dll文件第一招:??對于dll的隱藏地,temp,system32,windows這三個(gè)文件夾是最常見的,如果你哪天發(fā)現(xiàn)temp里某個(gè)dll文件無法刪除,那么幾乎可以肯定這個(gè)文件有問題了,
? ???安裝好系統(tǒng)和所有的應(yīng)用程序之后,備份system32目錄下的EXE和DLL文件:打開CMD,來到WINNT\system32目錄下,執(zhí)行:
復(fù)制內(nèi)容到剪貼板
代碼:
dir *.exe >exefirst.txt? ?dir *.dll? ?>dllfirst.txt這樣,就會把所有的EXE和DLL文件備份到exe.txt和dll.txt文件中,日后,如發(fā)現(xiàn)異常,可以使用相同的命令再次備份EXE和DLL文件
復(fù)制內(nèi)容到剪貼板
代碼:
??dir *.exe >exeSecond.txt? ?? ? dir *.dll? ?>dllSecond.txt 并使用:
復(fù)制內(nèi)容到剪貼板
代碼:
fc exefirst.txt exeSecond.txt >dllresult.txt? ? fc dllfirst.txt dllSecond.txt? ?>exeresult.txt其意思為使用FC命令比較兩次的EXE文件和DLL文件,并將比較結(jié)果保存到exedll.txt文件中。通過這種方法,我們就可以發(fā)現(xiàn)多出來的EXE和DLL文件,并通過文件大小,創(chuàng)建時(shí)間來判斷是否是DLL后門。
第二招:
運(yùn)用相關(guān)工具如,icesword ,ring防火墻,重點(diǎn)檢測ie,exeplorer桌面進(jìn)程中是否有未知的dll加載文件,其實(shí)我更喜歡用ring防火墻,里面有未知dll都以紅色顯示,很方便看
第三招:
通過創(chuàng)建時(shí)間來查找,利用win中的搜索文件功能,設(shè)定時(shí)間,查找可以文件
第四招:
定期檢查系統(tǒng)自動(dòng)加載的地方,如注冊表啟動(dòng)項(xiàng),服務(wù)列表,win.ini,system.ini。。。。,可以去網(wǎng)上搜索更多啟動(dòng)的地方
第五招:
用相關(guān)工具查看端口列表,如果你不想用cmd的話,注意下每個(gè)tcp連接后的應(yīng)用程序路徑,也可以發(fā)現(xiàn)可以文件
第六招:
? ?? ?? ?當(dāng)我們運(yùn)用前面幾招找出了可疑文件,如何刪除呢?如何殺“寄生蟲”? 最簡單的辦法就是讓“宿主”死去? ?,結(jié)束被插入了的exe進(jìn)程,類似ie,桌面這類進(jìn)程可以直接用任務(wù)管理器kill,這里提一下,kill桌面exeplorer進(jìn)程時(shí),會發(fā)現(xiàn)任務(wù)欄消失了,那么怎么刪dll呢,按ctrl+alt+del調(diào)出任務(wù)管理器,依次點(diǎn)菜單欄的 文件--新建任務(wù),這時(shí)候會出現(xiàn)一個(gè)“創(chuàng)建新任務(wù)”的窗口,點(diǎn)下方的“瀏覽”找到插入桌面的dll文件,也就是“寄生蟲”了,呵呵,右鍵刪之,刪了后在“創(chuàng)建新任務(wù)”的窗口運(yùn)行欄中輸入“exeplorer"確定后,我們的宿主就復(fù)活了,哈哈,體內(nèi)的寄生蟲也沒了。
? ?如果插入的是crss.exe等系統(tǒng)核心進(jìn)程呢?無法殺死宿主咋辦?沒關(guān)系,我們還有安全模式啊,開機(jī)按f8進(jìn)入安全模式,找到你確定的可疑文件,刪之,這個(gè)世界終于清凈了。。。。
??
寫在后面:現(xiàn)實(shí)中分析,查殺可疑文件當(dāng)然沒有這么簡單,但只要核心抓住了就可以了,不管它72變,照樣現(xiàn)出原形,最后祝所有人遠(yuǎn)離木馬,病毒!打字打的可真累啊,雖然很泛泛,希望對那些對系統(tǒng)不太熟悉的網(wǎng)友能有所幫助~參考了部分網(wǎng)絡(luò)文章和書籍,一并感謝
? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?by willy
? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ? 2007.5.2