Dll木马像是一个寄生虫以DLL文件的形式入驻用户硬盘嵌入某个重要的系统进程中通过宿主来调用DLL文件实现远程控制的功能这样的木马嵌入到系统进程中可以穿越防火墙更让人头疼的是用杀毒软件进行查杀杀软即使报警提示发现病毒但是也无法彻底清除木马病毒文件因为木马DLL文件正被宿主调用下面我们把杀软放到一边通过专用工具及其手工的方法来清除DLL木马
一清除思路
通过系统工具及其第三方工具找到木马的宿主进程然后定位到木马DLL文件
结束被木马注入的进程
删除木马文件
注册表相关项的清除
二 清除方法
普通进程DLL注入木马的清除
有许多DLL木马是注入到iexploreexe和explorerexe这两个进程中的对于注入这类普通进程的DLL木马是很好清除掉的
如果DLL文件是注入到iexploreexe进程中此进程就是IE浏览进程那么可以关掉所有IE窗口和相关程序然后直接找到DLL文件进行删除就可以了如果是注入到explorerexe进程中那么就略显麻烦一些因为此进程是用于显示桌面和资源管理器的当通过任务管理器结束掉explorerexe进程时桌面无法看破到此时桌面上所有图标消失掉我的电脑网上邻居等所有图标都不见了也无法打开资源管理器找到木马文件进行删除了怎么办呢?
这时候可以在任务管理器中点击菜单文件→新任务运行打开创建新任务对话框点击浏览挖通过浏览对话框就可以打开DLL文件所在的路径然后选择文件类型为所有文件即可显示并删除DLL了
提示如果你熟悉命令行(cmdexe)的话可以直接通过命令来清除如
taskkill /f /im explorerexe
del C:\Windows\System\testdll
start explorerexe
第一行是结束explorerexe第二回是删除木马文件testdll第三行是重启explorerexe
使用IceSword卸载DLL文件调用
如果木马是插入了svchostexe之类的关键进程中就不能指望进程管理器来结束进程了可能需要一些附加的工具卸载掉某个DLL文件的调用
IceSword的功能十分强大可以利用它卸载掉已经插入到正在运行的系统进程中的DLL文件在IceSword的进程列表显示窗口中右键点击DLL木马宿主进程选择弹出菜单中的模块信息命令打开DLL模块列表对话窗口选择可疑的模块后点击卸载按钮即可将DLL木马进程中删除掉了
如果提示不能卸载的话可以点击强行解除按钮从进程中强行删除该DLL调用这时候就可以从模块文件名栏中得到DLL文件文件的路径然后到文件夹中将DLL木马彻底删除掉
SSM终结所有DLL木马
许多木马都是注入到系统里关键进程中的比如svchostexesmssexewinlogonexe进程这些进程使用普通方式无法结束使用特殊工具结束掉进程或卸载掉进程中的DLL文件后却又很可能造成系统崩溃无法正常运行等例如一款着名的木马PCShare是注入winlogonexe进程中的该进程是掌握Windows登录的在使用IceSword卸载时系统立刻异常重启更本来不及清除dll文件在重启后dll木马再次被加载
对于这类dll木马必须在进程运行之前阻止dll文件的加载阻止dll文件加载要用到一个强大的安全工具System Safety Monitor(简称SSM)SSM是由俄罗斯出品的一款系统监控软件通过监视系统特定的文件和程序达到保护系统安全的目的这款软件功能非常强大可以很好地配合防火墙和杀毒软件更好地保护系统的安全
运行SSM在程序界面中选择规则选项卡右键点击中间规则列表空白处选择新增命令弹出文件浏览窗口选择浏览文件类型为库文件在其中选择指定文件路径C:\Windows\system\rejoicedll确定后即可将DLL木马文件添加到规则列表中然后在界面下方的规则下拉列表中选择阻止(F)
添加规则设置完毕后点击应用设置按钮然后重启系统在重启系统前要检查SSM的设置保证SSM随系统启动而加载运行当系统重启时会自动阻止该进程调用rejoicedll木马文件由于木马文件没有任何进程调用所以就可以直接删除了
此外我们还可以利用其它工具来清除DLL木马后门例如Tiny Personnal Firewall (TPF)防火墙的balcklist禁止运行功能等清除的原理都是一样的总之是在木马DLL文件被调用之前阻止其被进程加载从而达到结束木马进程并删除木马的目的
通过系统权限法来清除DLL木马
在Windows系统中NTFS分区格式具有强大的文件限制设置功能可以设置某个文件是否可以被程序调用访问等通过这个功能我们一样可以阻止木马调用相应的DLL文件从而彻底地清除掉DLL木马文件
