剿清删不掉的DLL木马(转帖)2

1314138

2、使用IceSword卸载DLL文件调用

　　如果木马是插入了“svchost.exe”之类的关键进程中，就不能指望进程管理器来结束进程了，可能需要一些附加的工具卸载掉某个DLL文件的调用。

　　IceSword的功能十分强大，可以利用它卸载掉已经插入到正在运行的系统进程中的DLL文件。在IceSword的进程列表显示窗口中，右键点击DLL木马宿主进程，选择弹出菜单中的“模块信息”命令打开DLL模块列表对话窗口。选择可疑的模块后，点击“卸载”按钮即可将DLL木马进程中删除掉了。

　　如果提示不能卸载的话，可以点击“强行解除”按钮，从进程中强行删除该DLL调用。这时候就可以从“模块文件名”栏中，得到DLL文件文件的路径，然后到文件夹中将DLL木马彻底删除掉。(图2)

  



  
  3、SSM终结所有DLL木马

　　许多木马都是注入到系统里关键进程中的，比如“svchost.exe”、“smss.exe”、“winlogon.exe”进程，这些进程使用普通方式无法结束，使用特殊工具结束掉进程或卸载掉进程中的DLL文件后，却又很可能造成系统崩溃无法正常运行等。例如一款著名的木马PCShare是注入“winlogon.exe”进程中的，该进程是掌握Windows登录的，在使用IceSword卸载时系统立刻异常重启，更本来不及清除dll文件，在重启后dll木马再次被加载。

　　对于这类dll木马，必须在进程运行之前阻止dll文件的加载。阻止dll文件加载要用到一个强大的安全工具“System Safety Monitor”(简称SSM)。SSM是由俄罗斯出品的一款系统监控软件，通过监视系统特定的文件和程序，达到保护系统安全的目的。这款软件功能非常强大，可以很好地配合防火墙和杀毒软件更好地保护系统的安全。

　　运行SSM，在程序界面中选择“规则”选项卡，右键点击中间规则列表空白处，选择“新增”命令。弹出文件浏览窗口，选择浏览文件类型为“库文件”，在其中选择指定文件路径“C:\\Windows\\system32\\rejoice.dll”。确定后，即可将DLL木马文件添加到规则列表中，然后在界面下方的“规则”下拉列表中选择“阻止(F2)”(图3)




  
  添加规则设置完毕后，点击“应用设置”按钮，然后重启系统。在重启系统前要检查SSM的设置，保证SSM随系统启动而加载运行。当系统重启时，会自动阻止该进程调用rejoice.dll木马文件。由于木马文件没有任何进程调用，所以就可以直接删除了。

　　此外，我们还可以利用其它工具来清除DLL木马后门，例如Tiny Personnal Firewall 2005(TPF)防火墙的“balcklist”禁止运行功能等，清除的原理都是一样的，总之是在木马DLL文件被调用之前，阻止其被进程加载，从而达到结束木马进程并删除木马的目的。

1314138

2、使用IceSword卸载DLL文件调用

　　如果木马是插入了“svchost.exe”之类的关键进程中，就不能指望进程管理器来结束进程了，可能需要一些附加的工具卸载掉某个DLL文件的调用。

　　IceSword的功能十分强大，可以利用它卸载掉已经插入到正在运行的系统进程中的DLL文件。在IceSword的进程列表显示窗口中，右键点击DLL木马宿主进程，选择弹出菜单中的“模块信息”命令打开DLL模块列表对话窗口。选择可疑的模块后，点击“卸载”按钮即可将DLL木马进程中删除掉了。

　　如果提示不能卸载的话，可以点击“强行解除”按钮，从进程中强行删除该DLL调用。这时候就可以从“模块文件名”栏中，得到DLL文件文件的路径，然后到文件夹中将DLL木马彻底删除掉。(图2)

  



  
  3、SSM终结所有DLL木马

　　许多木马都是注入到系统里关键进程中的，比如“svchost.exe”、“smss.exe”、“winlogon.exe”进程，这些进程使用普通方式无法结束，使用特殊工具结束掉进程或卸载掉进程中的DLL文件后，却又很可能造成系统崩溃无法正常运行等。例如一款著名的木马PCShare是注入“winlogon.exe”进程中的，该进程是掌握Windows登录的，在使用IceSword卸载时系统立刻异常重启，更本来不及清除dll文件，在重启后dll木马再次被加载。

　　对于这类dll木马，必须在进程运行之前阻止dll文件的加载。阻止dll文件加载要用到一个强大的安全工具“System Safety Monitor”(简称SSM)。SSM是由俄罗斯出品的一款系统监控软件，通过监视系统特定的文件和程序，达到保护系统安全的目的。这款软件功能非常强大，可以很好地配合防火墙和杀毒软件更好地保护系统的安全。

　　运行SSM，在程序界面中选择“规则”选项卡，右键点击中间规则列表空白处，选择“新增”命令。弹出文件浏览窗口，选择浏览文件类型为“库文件”，在其中选择指定文件路径“C:\\Windows\\system32\\rejoice.dll”。确定后，即可将DLL木马文件添加到规则列表中，然后在界面下方的“规则”下拉列表中选择“阻止(F2)”(图3)




  
  添加规则设置完毕后，点击“应用设置”按钮，然后重启系统。在重启系统前要检查SSM的设置，保证SSM随系统启动而加载运行。当系统重启时，会自动阻止该进程调用rejoice.dll木马文件。由于木马文件没有任何进程调用，所以就可以直接删除了。

　　此外，我们还可以利用其它工具来清除DLL木马后门，例如Tiny Personnal Firewall 2005(TPF)防火墙的“balcklist”禁止运行功能等，清除的原理都是一样的，总之是在木马DLL文件被调用之前，阻止其被进程加载，从而达到结束木马进程并删除木马的目的。