DLL后门清除.docx

DLL后门清除.docx

《DLL后门清除.docx》由会员分享，可在线阅读，更多相关《DLL后门清除.docx（65页珍藏版）》请在冰豆网上搜索。

DLL后门清除

DLL后门清除

2007-04-2500:

40

前言

　　后门！

相信这个词语对您来说一定不会陌生，它的危害不然而欲，但随着人们的安全意识逐步增强，又加上杀毒软件的“大力支持”，使传统的后门无法在隐藏自己，任何稍微有点计算机知识的人，都知道“查端口”“看进程”，以便发现一些“蛛丝马迹”。

所以，后门的编写者及时调整了思路，把目光放到了动态链接程序库上，也就是说，把后门做成DLL文件，然后由某一个EXE做为载体，或者使用Rundll32.exe来启动，这样就不会有进程，不开端口等特点，也就实现了进程、端口的隐藏。

本文以“DLL的原理”“DLL的清除”“DLL的防范”为主题，并展开论述，旨在能让大家对DLL后门“快速上手”，不在恐惧DLL后门。

好了，进入我们的主题。

一，DLL的原理

1，动态链接程序库

　　动态链接程序库，全称：

DynamicLinkLibrary，简称：

DLL，作用在于为应用程序提供扩展功能。

应用程序想要调用DLL文件，需要跟其进行“动态链接”；从编程的角度，应用程序需要知道DLL文件导出的API函数方可调用。

由此可见，DLL文件本身并不可以运行，需要应用程序调用。

正因为DLL文件运行时必须插入到应用程序的内存模块当中，这就说明了：

DLL文件无法删除。

这是由于Windows内部机制造成的：

正在运行的程序不能关闭。

所以，DLL后门由此而生！

2，DLL后门原理及特点

　　把一个实现了后门功能的代码写成一个DLL文件，然后插入到一个EXE文件当中，使其可以执行，这样就不需要占用进程，也就没有相对应的PID号，也就可以在任务管理器中隐藏。

DLL文件本身和EXE文件相差不大，但必须使用程序（EXE）调用才能执行DLL文件。

DLL文件的执行，需要EXE文件加载，但EXE想要加载DLL文件，需要知道一个DLL文件的入口函数（既DLL文件的导出函数），所以，根据DLL文件的编写标准：

EXE必须执行DLL文件中的DLLMain（）作为加载的条件（如同EXE的mian（））。

做DLL后门基本分为两种：

1）把所有功能都在DLL文件中实现；2）把DLL做成一个启动文件，在需要的时候启动一个普通的EXE后门。

常见的编写方法：

（1），只有一个DLL文件

　　这类后门很简单，只把自己做成一个DLL文件，在注册表Run键值或其他可以被系统自动加载的地方，使用Rundll32.exe来自动启动。

Rundll32.exe是什么？

顾名思意，“执行32位的DLL文件”。

它的作用是执行DLL文件中的内部函数，这样在进程当中，只会有Rundll32.exe，而不会有DLL后门的进程，这样，就实现了进程上的隐藏。

如果看到系统中有多个Rundll32.exe，不必惊慌，这证明用Rundll32.exe启动了多少个的DLL文件。

当然，这些Rundll32.exe执行的DLL文件是什么，我们都可以从系统自动加载的地方找到。

　　现在，我来介绍一下Rundll32.exe这个文件，意思上边已经说过，功能就是以命令行的方式调用动态链接程序库。

系统中还有一个Rundll.exe文件，他的意思是“执行16位的DLL文件”，这里要注意一下。

在来看看Rundll32.exe使用的函数原型：

　　VoidCALLBACKFunctionName（

　　HWNDhwnd,

　　HINSTANCEhinst,

　　LPTSTRlpCmdLine,

　　IntnCmdShow

　　）;

　　其命令行下的使用方法为：

Rundll32.exeDLLname,Functionname[Arguments]

　　DLLname为需要执行的DLL文件名；Functionname为前边需要执行的DLL文件的具体引出函数；[Arguments]为引出函数的具体参数。

（2），替换系统中的DLL文件

　　这类后门就比上边的先进了一些，它把实现了后门功能的代码做成一个和系统匹配的DLL文件，并把原来的DLL文件改名。

遇到应用程序请求原来的DLL文件时，DLL后门就启一个转发的作用，把“参数”传递给原来的DLL文件；如果遇到特殊的请求时（比如客户端），DLL后门就开始，启动并运行了。

对于这类后门，把所有操作都在DLL文件中实现最为安全，但需要的编程知识也非常多，也非常不容易编写。

所以，这类后门一般都是把DLL文件做成一个“启动”文件，在遇到特殊的情况下（比如客户端的请求），就启动一个普通的EXE后门；在客户端结束连接之后，把EXE后门停止，然后DLL文件进入“休息”状态，在下次客户端连接之前，都不会启动。

但随着微软的“数字签名”和“文件恢复”的功能出台，这种后门已经逐步衰落。

　　提示：

　　在WINNTsystem32目录下，有一个dllcache文件夹，里边存放着众多DLL文件（也包括一些重要的EXE文件），在DLL文件被非法修改之后，系统就从这里来恢复被修改的DLL文件。

如果要修改某个DLL文件，首先应该把dllcache目录下的同名DLL文件删除或更名，否则系统会自动恢复。

（3），动态嵌入式

　　这才是DLL后门最常用的方法。

其意义是将DLL文件嵌入到正在运行的系统进程当中。

在Windows系统中，每个进程都有自己的私有内存空间，但还是有种种方法来进入其进程的私有内存空间，来实现动态嵌入式。

由于系统的关键进程是不能终止的，所以这类后门非常隐蔽，查杀也非常困难。

常见的动态嵌入式有：

“挂接API”“全局钩子（HOOK）”“远程线程”等。

　　远程线程技术指的是通过在一个进程中创建远程线程的方法来进入那个进程的内存地址空间。

当EXE载体（或Rundll32.exe）在那个被插入的进程里创建了远程线程，并命令它执行某个DLL文件时，我们的DLL后门就挂上去执行了，这里不会产生新的进程，要想让DLL后门停止，只有让这个链接DLL后门的进程终止。

但如果和某些系统的关键进程链接，那就不能终止了，如果你终止了系统进程，那Windows也随即被终止！

！

！

3，DLL后门的启动特性

　　启动DLL后门的载体EXE是不可缺少的，也是非常重要的，它被称为：

Loader。

如果没有Loader，那我们的DLL后门如何启动呢？

因此，一个好的DLL后门会尽力保护自己的Loader不被查杀。

Loader的方式有很多，可以是为我们的DLL后门而专门编写的一个EXE文件；也可以是系统自带的Rundll32.exe，即使停止了Rundll32.exe，DLL后门的主体还是存在的。

3721网络实名就是一个例子，虽然它并不是“真正”的后门。

二，DLL的清除

　　本节以三款比较有名的DLL后门例，分别为“SvchostDLL.dll”“BITS.dll”“QoServer.dll”。

详细讲解其手工清除方法。

希望大家在看过这三款DLL后门的清除方法之后，能够举一反三，灵活运用，在不惧怕DLL后门。

其实，手工清除DLL后门还是比较简单的，无非就是在注册表中做文章。

具体怎么做，请看下文。

1，PortLessBackDoor

　　这是一款功能非常强大的DLL后门程序，除了可以获得LocalSystem权限的Shell之外，还支持如“检测克隆帐户”“安装终端服务”等一系列功能（具体可以参见程序帮助），适用Windows2000xp2003等系统。

程序使用svchost.exe来启动，平常不开端口，可以进行反向连接（最大的特点哦），对于有_blank防火墙的主机来说，这个功能在好不过了。

　　在介绍清除方法之前，我们先来简单的介绍一下svchost.exe这个系统的关键服务：

　　Svchost只是做为服务的宿主，本身并不实现什么功能，如果需要使用Svchost来启动服务，则某个服务是以DLL形式实现的，该DLL的载体Loader指向svchost，所以，在启动服务的时候由svchost调用该服务的DLL来实现启动的目的。

使用svchost启动某个服务的DLL文件是由注册表中的参数来决定的，在需要启动服务的下边都有一个Parameters子键，其中的ServiceDll表明该服务由哪个DLL文件负责，并且这个DLL文件必须导出一个ServiceMain（）函数，为处理服务任务提供支持。

　　呵呵！

看了上边的理论，是不是有点蒙（我都快睡着了），别着急，我们来看看具体的内容）。

我们可以看到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRpcSs下的Parameters子键，其键值为%SystemRoot%system32rpcss.dll。

这就说明：

启动RpcSs服务时。

Svchost调用WINNTsystem32目录下的rpcss.dll。

　　这是注册表的HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionSvchost，里边存放着Svchost启动的组和组内的各个服务，其中netsvcs组的服务最多。

要使用Svchost启动某个服务，则该服务名就会出现在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionSvchost下。

这里有四种方法来实现：

　　1，添加一个新的组，在组里添加服务名

　　2，在现有组里添加服务名

　　3，直接使用现有组里的一个服务名，但是本机没有安装的服务

　　4，修改现有组里的现有服务，把它的ServiceDll指向自己的DLL后门

　　我测试的PortLessBackDoor使用的第三种方法。

　　好了，我想大家看完了上边的原理，一定可以想到我们清除PortLessBackDoor的方法了，对，就是在注册表的Svchost键下做文章。

好，我们现在开始。

简明批处理教程

最近对于批处理技术的探讨比较热，也有不少好的批处理程序发布，但是如果没有一定的相关知识恐怕不容易看懂和理解这些批处理文件，也就更谈不上自己动手编写了，古语云：

“授人以鱼，不如授人以渔。

”因为网上好像并没有一个比较完整的教材,所以抽一点时间写了这片<<简明批处理教程>>给新手朋友们.也献给所有为实现网络的自由与共享而努力的朋友们.

批处理文件是无格式的文本文件，它包含一条或多条命令。

它的文件扩展名为.bat或.cmd。

在命令提示下键入批处理文件的名称，或者双击该批处理文件，系统就会调用Cmd.exe按照该文件中各个命令出现的顺序来逐个运行它们。

使用批处理文件（也被称为批处理程序或脚本），可以简化日常或重复性任务。

当然我们的这个版本的主要内容是介绍批处理在入侵中一些实际运用，例如我们后面要提到的用批处理文件来给系统打补丁、批量植入后门程序等。

下面就开始我们批处理学习之旅吧。

一.简单批处理内部命令简介

1.Echo命令

打开回显或关闭请求回显功能，或显示消息。

如果没有任何参数，echo命令将显示当前回显设置。

语法

echo[{on|off}][message]

Sample：

@echooff/echohelloworld

在实际应用中我们会把这条命令和重定向符号（也称为管道符号，一般用>>>^）结合来实现输入一些命令到特定格式的文件中.这将在以后的例子中体现出来。

2.@命令

表示不显示@后面的命令，在入侵过程中（例如使用批处理来格式化敌人的硬盘）自然不能让对方看到你使用的命令啦。

Sample：

@echooff

@echoNowinitializingtheprogram,pleasewaitaminite...

@formatX:

/q/u/autoset（format这个命令是不可以使用/y这个参数的，可喜的是微软留了个autoset这个参数给我们，效果和/y是一样的。

）

3.Goto命令

指定跳转到标签，找到标签后，程序将处理从下一行开始的命令。

语法：

gotolabel（label是参数，指定所要转向的批处理程序中的行。

）

Sample：

if{%1}=={}gotonoparms

if{%2}=={}gotonoparms（如果这里的if、%1、%2你不明白的话，先跳过去，后面会有详细的解释。

）

@Remcheckparametersifnullshowusage

:

noparms

echoUsage:

monitor.batServerIPPortNumber

gotoend

标签的名字可以随便起，但是最好是有意义的字母啦，字母前加个：

用来表示这个字母是标签，goto命令就是根据这个：

来寻找下一步跳到到那里。

最好有一些说明这样你别人看起来才会理解你的意图啊。

4.Rem命令

注释命令，在C语言中相当与/*--------*/,它并不会被执行，只是起一个注释的作用，便于别人阅读和你自己日后修改。

RemMessage

Sample：

@RemHereisthedescription.

5.Pause命令

运行Pause命令时，将显示下面的消息：

Pressanykeytocontinue...

Sample：

@echooff

:

begin

copya:

*.*d：

\back

echoPleaseputanewdiskintodriverA

pause

gotobegin

在这个例子中，驱动器A中磁盘上的所有文件均复制到d:

\back中。

显示的注释提示您将另一张磁盘放入驱动器A时，pause命令会使程序挂起，以便您更换磁盘，然后按任意键继续处理。

6.Call命令

从一个批处理程序调用另一个批处理程序，并且不终止父批处理程序。

call命令接受用作调用目标的标签。

如果在脚本或批处理文件外使用Call，它将不会在命令行起作用。

语法

call[[Drive:

][Path]FileName[BatchParameters]][:

label[arguments]]

参数

[Drive:

}[Path]FileName

指定要调用的批处理程序的位置和名称。

filename参数必须具有.bat或.cmd扩展名。

7.start命令

调用外部程序，所有的DOS命令和命令行程序都可以由start命令来调用。

入侵常用参数：

MIN开始时窗口最小化

SEPARATE在分开的空间内开始16位Windows程序

HIGH在HIGH优先级类别开始应用程序

REALTIME在REALTIME优先级类别开始应用程序

WAIT启动应用程序并等候它结束

parameters这些为传送到命令/程序的参数

执行的应用程序是32-位GUI应用程序时，CMD.EXE不等应用程序终止就返回命令提示。

如果在命令脚本内执行，该新行为则不会发生。

8.choice命令

choice使用此命令可以让用户输入一个字符，从而运行不同的命令。

使用时应该加/c:

参数，c:

后应写提示可输入的字符，之间无空格。

它的返回码为1234……

如:

choice/c:

dmedefrag,mem,end

将显示

defrag,mem,end[D,M,E]?

Sample：

Sample.bat的内容如下:

@echooff

choice/c:

dmedefrag,mem,end

iferrorlevel3gotodefrag（应先判断数值最高的错误码）

iferrorlevel2gotomem

iferrotlevel1gotoend

:

defrag

c:

\dos\defrag

gotoend

:

mem

mem

gotoend

:

end

echogoodbye

此文件运行后，将显示defrag,mem,end[D,M,E]?

用户可选择dme，然后if语句将作出判断，d表示执行标号为defrag的程序段，m表示执行标号为mem的程序段，e表示执行标号为end的程序段，每个程序段最后都以gotoend将程序跳到end标号处，然后程序将显示goodbye，文件结束。

9.If命令

if表示将判断是否符合规定的条件，从而决定执行不同的命令。

有三种格式:

1、if"参数"=="字符串"　待执行的命令

参数如果等于指定的字符串，则条件成立，运行命令，否则运行下一句。

（注意是两个等号）

如if"%1"=="a"formata:

if{%1}=={}gotonoparms

if{%2}=={}gotonoparms

2、ifexist文件名　待执行的命令

如果有指定的文件，则条件成立，运行命令，否则运行下一句。

如ifexistconfig.syseditconfig.sys

3、iferrorlevel/ifnoterrorlevel数字　待执行的命令

如果返回码等于指定的数字，则条件成立，运行命令，否则运行下一句。

如iferrorlevel2gotox2　

DOS程序运行时都会返回一个数字给DOS，称为错误码errorlevel或称返回码，常见的返回码为0、1。

10.for命令

for命令是一个比较复杂的命令，主要用于参数在指定的范围内循环执行命令。

在批处理文件中使用FOR命令时，指定变量请使用%%variable

for{%variable|%%variable}in（set）docommand[CommandLineOptions]

%variable指定一个单一字母可替换的参数。

（set）指定一个或一组文件。

可以使用通配符。

command指定对每个文件执行的命令。

command-parameters为特定命令指定参数或命令行开关。

在批处理文件中使用FOR命令时，指定变量请使用%%variable

而不要用%variable。

变量名称是区分大小写的，所以%i不同于%I

如果命令扩展名被启用，下列额外的FOR命令格式会受到

支持:

FOR/D%variableIN（set）DOcommand[command-parameters]

如果集中包含通配符，则指定与目录名匹配，而不与文件

名匹配。

FOR/R[[drive:

]path]%variableIN（set）DOcommand[command-

检查以[drive:

]path为根的目录树，指向每个目录中的

FOR语句。

如果在/R后没有指定目录，则使用当前

目录。

如果集仅为一个单点（.）字符，则枚举该目录树。

FOR/L%variableIN（start,step,end）DOcommand[command-para

该集表示以增量形式从开始到结束的一个数字序列。

因此，（1,1,5）将产生序列12345，（5,-1,1）将产生

序列（54321）。

FOR/F["options"]%variableIN（file-set）DOcommand

FOR/F["options"]%variableIN（"string"）DOcommand

FOR/F["options"]%variableIN（'command'）DOcommand

或者，如果有usebackq选项:

FOR/F["options"]%variableIN（file-set）DOcommand

FOR/F["options"]%variableIN（"string"）DOcommand

FOR/F["options"]%variableIN（'command'）DOcommand

filenameset为一个或多个文件名。

继续到filenameset中的

下一个文件之前，每份文件都已被打开、读取并经过处理。

处理包括读取文件，将其分成一行行的文字，然后将每行

解析成零或更多的符号。

然后用已找到的符号字符串变量值

调用For循环。

以默认方式，/F通过每个文件的每一行中分开

的第一个空白符号。

跳过空白行。

您可通过指定可选"options"

参数替代默认解析操作。

这个带引号的字符串包括一个或多个

指定不同解析选项的关键字。

这些关键字为:

eol=c-指一个行注释字符的结尾（就一个）

skip=n-指在文件开始时忽略的行数。

delims=xxx-指分隔符集。

这个替换了空格和跳格键的

默认分隔符集。

tokens=x,y,m-n-指每行的哪一个符号被传递到每个迭代

的for本身。

这会导致额外变量名称的

格式为一个范围。

通过nth符号指定m

符号字符串中的最后一个字符星号，

那么额外的变量将在最后一个符号解析之

分配并接受行的保留文本。

usebackq-指定新语法已在下类情况中使用:

在作为命令执行一个后引号的字符串并且

引号字符为文字字符串命令并允许在fi

中使用双引号扩起文件名称。

sample1:

FOR/F"eol=;tokens=2,3*delims=,"%iin（myfile.txt）docommand

会分析myfile.txt中的每一行，忽略以分号打头的那些行，将

每行中的第二个和第三个符号传递给for程序体；用逗号和/或

空格定界符号。

请注意，这个for程序体的语句引用%i来

取得第二个符号，引用%j来取得第三个符号，引用%k

来取得第三个符号后的所有剩余符号。

对于带有空格的文件

名，您需要用双引号将文件名括起来。

为了用这种方式来使

用双引号，您还需要使用usebackq选项，否则，双引号会

被理解成是用作定义某个要分析的字符串的。

%i专门在for语句中得到说明，%j和%k是通过

tokens=选项专门得到说明的。

您可以通过tokens=一行

指定最多26个符号，只要不试图说明一个高于字母'z'或

'Z'的变量。

请记住，FOR变量是单一字母、分大小写和全局的；

同时不能有52个以上都在使用中。

您还可以在相邻字符串上使用FOR/F分析逻辑；方法是，

用单引号将括号之间的filenameset括起来。

这样，该字符

串会被当作一个文件中的一个单一输入行。

最后，您可以用FOR/F命令来分析命令的输出。

方法是，将

括号之间的filenameset变成一个反括字符串。

该字符串会

被当作命令行，传递到一个子CMD.EXE，其输出会被抓进

内存，并被当作文件分析。

因此，以下例子:

FOR/F"usebackqdelims=="%iIN（`set`）DO@echo%i

会枚举当前环境中的环境变量名称。

另外，FOR变量参照的替换已被增强。

您现在可以使用下列

选项语法:

~I-删除任何引号（"），扩充%I

%~fI-将%I扩充到一个完全合格的路径名

%~dI