動態嵌入式DLL木馬發現與清除

那麼我們如何來發現並清除DLL木馬呢？

　　一、從DLL木馬的DLL文件入手，我們知道system32是個捉迷藏的好地方，許多木馬都削尖了腦袋往那裡鑽，DLL馬也不例外，針對這一點我們可以在安裝好系統和必要的應用程序後，對該目錄下的EXE和DLL文件作一個記錄：運行CMD--轉換目錄到system32--dir *.exe>exeback.txt & dir *.dll>dllback.txt,這樣所有的EXE和DLL文件的名稱都被分別記錄到exeback.txt和dllback.txt中,日後如發現異常但用傳統的方法查不出問題時,則要考慮是不是系統中已經潛入DLL木馬了.這是我們用同樣的命令將system32下的EXE和DLL文件記錄到另外的exeback1.txt和dllback1.txt中,然後運行CMD--fc exeback.txt exeback1.txt>diff.txt & fc dllback.txt dllback1.txt>diff.txt.(用FC命令比較前後兩次的DLL和EXE文件,並將結果輸入到diff.txt中),這樣我們就能發現一些多出來的DLL和EXE文件,然後通過查看創建時間、版本、是否經過壓縮等就能夠比較容易地判斷出是不是已經被DLL木馬光顧了。沒有是最好，如果有的話也不要直接DLL掉，我們可以先把它移到回收站裡，若系統沒有異常反應再將之徹底刪除或者提交給殺毒軟件公司。

　　二、上文也曾提到一些系統關鍵進程是這類木馬的最愛，所以一旦我們懷疑係統已經進駐了DLL木馬，我們當然要對這些關鍵進程重點照顧了，怎麼照顧？這裡推薦一個強大的脫殼工具工具Procedump.exe他可以幫您看出進程到底調用了那些DLL文件，但是由於有的進程調用的DLL文件非常多，使得靠我們自己去一個核對變的不太現實，所以我們會用到一個shotgun寫的NT進程/內存模塊查看器ps.exe，用命令ps.exe /a /m >nowdlls.txt將系統目前調用地所有DLL文件地名稱保存到nowdlls.txt，然後我們再用fc將之於事先備份dllback.txt比較一下，這樣也能夠縮小排查範圍。

　　三、還記得木馬的特徵之一端口麼？所有的木馬只要進行連接，只要它接受/發送數據則必然會打開端口，DLL木馬也不例外，這也為我們發現他們提供了一條線索，我們可以使用foundstone的進程端口查看工具Fport.exe來查看與端口對應的進程,這樣可以將範圍縮小到具體的進程,然後結合Procedump來查找DLL木馬就比較容易了.當然有如上文提到的有些木馬會通過端口劫持或者端口重用的方法來進行通信,139、80、1443、等常見端口則是木馬的最愛。因為即使即使用戶使用端口掃瞄軟件檢查自己的端口，發現的也是類似TCP UserIP:1026　ControllerIP:80 ESTABLISHED 的情況，稍微疏忽一點，您就會以為是自己在瀏覽網頁(防火牆也會這麼認為的)。所以光看端口還不夠，我們要對端口通信進行監控，這就是第四點要說的。

　　四、我們可以利用嗅探器來瞭解打開的端口到底在傳輸些什麼數據。通過將網卡設為混雜模式就可以接受所有的IP報文，嗅探程序可以從中選擇值得關注的部分進行分析，剩下的無非是按照RFC文檔對協議進行解碼。這樣就可以確定木馬使用的端口，結合Fport和Procedump我們就能夠查找到該DLL木馬了。至於嗅探器個人推薦使用IRIS，圖形界面比較容易上手。

　　五、通常說道查殺木馬我們會習慣性地到註冊表碰碰運氣。以前可能還蠻有效的，但如果碰到註冊為系統服務的木馬（原理：在NT/2K/XP這些系統中，系統啟動時會加載指定的服務程序），這時候檢查：啟動組/註冊表/autoexec.bat/win.ini/sysytem.ini/wininit.ini/*.inf(例如autorun.inf)/config.sys等文件就發現不了絲毫的異樣，這時候我們就應該查看一下系統服務了：右擊我的電腦－－管理－－服務和應用程序－－服務，這時您會看到100多個服務，（MS也真是的，其中75％對個人用戶無用，可以禁止）。慢慢找吧，看誰不順眼就把它拎出來：），當然如果您以前曾經用導出列表功能對服務備份過，則用文件比較的方法會很容易發現哪些是外來客，這時您可以記錄下服務加載的是那個文件，然後用Resource Kits裡提供的srvinstw.exe來移除該服務並清除被加載的文件。

　　通過以上五步，基本能發現並清除狡猾的動態嵌入式DLL木馬了，也許您也發現如果適當地做一些備份，會對我們的查找木馬的過程有很大的幫助，當然也會減輕不少工作的壓力哦。