DLL木马的发现与清除
简单五步轻轻松松清除DLL木马
口么 ? 所 有 的 木 马 只 要 进 行 连 接 , 只 要 它 接 受 / 送 数 据 则 必 然 会 打 发 开 端 口 , L 木 马 也 不 例 外 , 这 也 DL 为我们发现他 们提供 了一条线索 ,
我 们 可 以 使 用 fu dtn o n s e的 进 程 端 o 口 查 看 工 具 F ot e e来 查 看 与 端 p r. x 口 对 应 的 进 程 , 样 可 以 将 范 围 缩 这
备 份 dbc 七 U ak. t比 较 一 下 , 这 样 也 x 能够缩小排查 范 围。 3、 还 记 得 木 马 的 特 征 之 一 端
系 统 中 负 责 W iS ce1x 的 函 数 n ok t. 调 用 wsc3 .U W iSce 中 则 由 ok 2 d ( n okt 2
d mp来 查 找 D L 木 马 就 比 较 容 易 u L 了 . 然 有 如 上 文 提 到 的 有 些 木 马 当 会 通 过 端 口 劫 持 或 者 端 口 重 用 的 方 法 来 进 行 通 信 , 3 、 0、 4 3、 1 9 8 1 4 等 -
马 , 将 D L木 马 嵌 入 到 正 在 运 行 L
和 文 件 恢 复 功 能 的 出 台 , 种 DL 这 L 马 的 生 命 力 也 日渐 衰 弱 了 ,于 是 在 开 发 者 的 努 力 下 出 现 了 时 下 的 主 流 木 马 一 动 态 嵌 入 式 DL 木 L
df tt f U ak ttUak .( >d . i . &c bc . dbc1 臼t x d x i f
W S 2
_
现 异 常 但 用 传 统 的 方 法 查 不 出 问 题 时 , 要 考 虑 是 不 是 系 统 中 已 经 则 潜 入 DL 木 马 了 . 是 我 们 用 同 样 L 这 的 命 令 将 ss m3 下 的 E E 和 yt 2 e X
DLL木马是依靠DLL文件来作恶的
DLL木马是依靠DLL文件来作恶的,木马运行时不会在进程列表出现新的进程,而且很多DLL木马还插入到系统关键进程中(无法终止),即使能被杀毒软件检测出来也无法查杀,这给系统安全带来极大的威胁。
如果你的手头没有趁手的杀马兵器,抄起办公的Excel我们也可以肉搏一番。
下面就看看我们是如何用Excel对付这种插入lsass.exe进程的木马吧!第一步:查找被感染的进程近日开机上网一段时间后就觉得网速特别的慢,于是便运行“netstat -a -n -o”查看开放的端口和连接,其中进程PID为580发起的连接极为可疑:状态为ESTABLISHED,表示两台机器正在通信(见图1)。
通过任务管理器可以知道这个进程为lsass.exe,根据进程的解释,lsass.exe是用于微软Windows系统的安全机制,它用于本地安全和登陆策略,显然这个进程是不需要开放端口和外部连接的,据此判断该进程极可能插入DLL木马。
如果牧马者当前没有进行连接,还可以通过端口状态判断是否中招,如TIME_W AIT的意思是结束了这次连接,说明端口曾经有过访问,但访问结束了,表明已经有黑客入侵过本机。
LISTENING 表示处于侦听状态,等待连接,但还没有被连接,不过只有TCP协议的服务端口才能处于LISTENING状态。
小提示:判断是否中招的前提是要找出被感染的进程,按被插入进程的类别分,DLL木马大致可以分为:1.插入常用进程,如Notepad.exe、Iexplorer.exe(此类木马的判断很简单,开机后不启动任何程序,打开任务管理器如果发现上述进程,那就可以判断中招了)。
2.插入系统进程,如Explorer.exe、lsass.exe(由于每台电脑开机后都有上述的进程,具体可以通过查看端口和进程本身特性加以判断,比如本机的lsass.exe、winlogon.exe、explorer.exe 就不会开放端口连接)。
3.对于插入本身就开放端口进程如alg.exe、svchost.exe,需要通过连接状况、连接IP、调用DLL综合加以判断。
DLL木马清除全攻略(上)
DLL木马清除全攻略(上)
郭建伟
【期刊名称】《网络运维与管理》
【年(卷),期】2014(000)017
【摘要】木马是黑客最喜欢的入侵工具,它可以让黑客毫不费力地通过秘密开启的后门进入被控机,执行探测和盗窃敏感数据。
在众多的木马中,DLL木马可谓是特立独行的另类,采用进程插入技术,藏身于合法的进程之中,不露痕迹的开启后门,为黑客入侵大开方便之门。
面对阴险狡猾的DLL木马,我们当然不能任其胡作非为,本文将从分析DLL具体实例入手,从发现DLL木马文件、定位其宿主进程、将其彻底清除等环节,深入介绍铲除DLL木马的具体方法,希望能够对您有所帮助和启发。
【总页数】6页(P88-93)
【作者】郭建伟
【作者单位】河南
【正文语种】中文
【中图分类】TP317
【相关文献】
1.DLL木马清除全攻略(下) [J], 郭建伟;
2.实战特洛伊木马:—一个木马程序的发现和清除 [J], 沧浪客
3.DLL木马的发现与清除 [J], 林廷劈
4.火眼金睛——DLL进程插入型木马清除记 [J], 冰河洗剑
5.干掉普通方法不易删除的恶性文件清除系统中的DLL木马后门 [J], 逍遥浪子因版权原因,仅展示原文概要,查看原文内容请购买。
开发杀软潜能,彻底清除DLL注入木马
举个例子,大家可以打开KV2007的进程查看器,任意选中一个进程,点击右键,选择“模块列表”命令,在弹出的对话框中,就可以看到此进程调用的各种模块信息(如图)。
在这些模块中,有可能就有DLL木马模块。正是由于DLL木马隐藏在进程中,而不是作为一个单独的进程,因此很难检查出来。既使查出了木马,也很难成功地 清除掉。为什么呢?因为有些DLL木马被进程所调用,要删除DLL木马文件中时,往往会提示该文件正在使用中,因此无法删除。只有结束掉被DLL木马注入 的进程,才可以成功删除该木马。但如果某些DLL木马注入到如“csrss.exe”或“winlogon.exe”之类的进程中(例如曾经非常流行的 “黑客之门”木马),一旦结束这类进程时,就会造成系统重启。因此木马也成了顽疾,再也无法清除掉。而且,DLL木马有一个得天独厚的优势,那就是它借助 于隐藏在正常的系统进程中,因此可以突破网络防火墙,被黑客或恶意攻击者连接控制。例如,假设某个DLL木马注入到了IE进程中,当木马连接远程控制端 时,防火墙会认为是IE进程在使用网络,因此就会放进,导致隐藏在其中的DLL木马得以无阻碍的穿透网络。
DLL病毒的常用3种清除方法mgr病毒清除方法
DLL病毒的常用3种清除方法|mgr病毒清除方法DLL病毒的几种基本原理:单独编写的DLL文件病毒:这类病毒是最容易被清除的DLL病毒,其原理也非常简单。
病毒作者编写一个DLL文件,然后通过注册表的Run键值或者其他可以被系统加载的地方启动。
替换系统文件的DLL病毒:病毒作者把病毒代码做成一个和系统匹配的DLL文件,并把原来的DLL文件改名。
遇到应用程序请求原来的DLL文件时,DLL病毒就启一个转发的作用,把“参数”传递给原来的DLL文件。
通过偷梁换柱的方法,DLL病毒堂而皇之的在用户电脑中活动。
动态嵌入式DLL病毒:这类病毒,可以在系统进程运行的时候,通过一些方法,进入系统的进程中。
由于系统进程无法终止,动态嵌入式的DLL病毒很难清除。
下面,我们以臭名昭著的守护者(NOIR—QUEEN)DLL木马为例,介绍一下DLL病毒的清除方法。
工具/原料DLL备份补丁步骤/方法第一步:查找DLL木马的Loader:守护者(NOIR—QUEEN)会以DLL文件的形式插入到系统的Lsass.exe进程中,由于Lsass.exe是系统的关键进程,不能被终止。
这种情况下,我们必须查找守护者的Loader。
使用“进程猎手”工具查看Lsass进程所调用的DLL文件,并与感染病毒前的信息比较,可以发现Lsass进程中增加了“QoSserver.dll”文件。
通过操作系统自带的文件搜索功能,查找到了QoSserver.exe文件,这就是守护者的Loader。
第二步:结束相关进程:感染了守护者病毒,在任务管理器中会有一个QoSserver.exe进程,强制结束这个进程。
并在“服务”选项中,找到该项服务,并将其禁用。
第三步:清理注册表:利用注册表中的查找服务,查找“QoSserver”关键字,并且将其键值逐一删除。
所有操作完成之后,重新启动计算机,然后逐一检查守护者是否被清理干净。
这样,我们就可以手工清除DLL病毒。
由于DLL病毒类型不同,其清除方法也有所差异。
DLL技术木马进程内幕大揭密
D L L技术木马进程内幕大揭密Revised by Petrel at 2021很多朋友还是不知道“DLL木马”是什么东东。
那到底什么是“DLL木马”呢它与一般的木马又有什么不同带着这些疑问,一起开始这次揭密之旅吧!一、追根溯源从DLL说起要了解什么是“DLL木马”,就必须知道“DLL”是什么意思!说起DLL,就不能不涉及到久远的DOS时代。
在DOS大行其道的时代,写程序是一件繁琐的事情,因为每个程序的代码都是需要独立的,这时为了实现一个普通的功能,甚至都要为此编写很多代码。
后来随着编程技术发展与进步,程序员们开始把很多常用的代码集合(也就是通用代码)放进一个独立的文件里,并把这个文件称为“库”(Library)。
在写程序的时候,把这个库文件加入编译器,就能使用这个库包含的所有功能而不必自己再去写一大堆代码,这个技术被称为“静态链接”(Static Link)。
静态链接技术让劳累的程序员松了口气,一切似乎都很美好。
然而静态链接技术的最大缺陷就是极度消耗和浪费资源,当一个程序只想用到一个库文件包含的某个图形效果时,系统将把这个库文件携带的所有的图形效果都加入程序,这样就使得程序非常臃肿。
虽然这并不重要,可是这些臃肿的程序却把道路都阻塞了——静态链接技术让最终的程序成了大块头,因为编译器把整个库文件都加载进去了。
技术永远是在发展的,静态链接技术由于无法避免的弊端,不能满足程序员和编程的需要,人们开始寻找一种更好的方法来解决代码重复的难题。
随着Windows系统的出现, Windows系统使用一种被称为“动态链接库”(Dynamic LinkLibrary)的新技术,它同样也是使用库文件,DLL的名字就是这样来的。
动态链接本身和静态链接没什么区别,也是把通用代码写进一些独立文件里,但是在编译方面,微软把库文件做成已经编译好的程序文件,给它们开发一个交换数据的接口。
程序员编写程序的时候,一旦要使用某个库文件的一个功能函数,系统就把这个库文件调入内存,连接上这个程序占有的任务进程,然后执行程序要用的功能函数,并把结果返回给程序显示出来。
电脑中的木马病毒如何彻底查杀
电脑中的木马病毒如何彻底查杀电脑中的木马病毒如何彻底查杀在用电脑的过程中,经常会遇到一些木马病毒,中病毒后,很多人都会表示用电脑杀毒软件杀毒就可以了,还有一些人在使用杀毒软件后发现,病毒在重启电脑之后又再次出现了,那么怎么样才能彻底查杀电脑中的木马病毒呢?下面和大家分享一些方法。
一、文件捆绑检测将木马捆绑在正常程序中,一直是木马伪装攻击的一种常用手段。
下面我们就看看如何才能检测出文件中捆绑的木马。
1.MT捆绑克星文件中只要捆绑了木马,那么其文件头特征码一定会表现出一定的规律,而MT捆绑克星正是通过分析程序的文件头特征码来判断的。
程序运行后,我们只要单击“浏览”按钮,选择需要进行检测的文件,然后单击主界面上的“分析”按钮,这样程序就会自动对添加进来的文件进行分析。
此时,我们只要查看分析结果中可执行的头部数,如果有两个或更多的可执行文件头部,那么说明此文件一定是被捆绑过的!2.揪出捆绑在程序中的木马光检测出了文件中捆绑了木马是远远不够的,还必须请出“Fearless Bound File Detector”这样的“特工”来清除其中的木马。
程序运行后会首先要求选择需要检测的程序或文件,然后单击主界面中的“Process”按钮,分析完毕再单击“Clean File”按钮,在弹出警告对话框中单击“是”按钮确认清除程序中被捆绑的木马。
二、清除DLL类后门相对文件捆绑运行,DLL插入类的木马显的更加高级,具有无进程,不开端口等特点,一般人很难发觉。
因此清除的步骤也相对复杂一点。
1.结束木马进程由于该类型的木马是嵌入在其它进程之中的,本身在进程查看器中并不会生成具体的项目,对此我们如果发现自己系统出现异常时,则需要判断是否中了DLL木马。
在这里我们借助的是IceSword工具,运行该程序后会自动检测系统正在运行的进程,右击可疑的进程,在弹出的菜单中选择“模块信息”,在弹出的窗口中即可查看所有DLL模块,这时如果发现有来历不明的项目就可以将其选中,然后单击“卸载”按钮将其从进程中删除。
七种常见木马破坏表现及清除方法
七种常见木马破坏表现及清除方法木马的出现对我们的系统造成了很大的危害,但是因为木马通常植入得非常隐蔽,很难完全删除,所以,这里我们介绍一些常见木马的清除方法。
一、网络公牛(Netbull)网络公牛是国产木马,默认连接端口23444。
服务端程序newserver.exe运行后,会自动脱壳成checkdll.exe,位于C:WINDOWSSYSTEM下,下次开机checkdll.exe 将自动运行,所以很隐蔽、危害很大。
同时,服务端运行后会自动捆绑以下文件:win2000下:notepad.exe;regedit.exe,reged32.exe;drwtsn32.exe;winmine.exe。
服务端运行后还会捆绑在开机时自动运行的第三方软件(如:realplay.exe、QQ、ICQ等)上,在注册表中网络公牛也悄悄地扎下了根。
网络公牛采用的是文件捆绑功能,和上面所列出的文件捆绑在一块,要清除非常困难。
这样做也有个缺点:容易暴露自己!只要是稍微有经验的用户,就会发现文件长度发生了变化,从而怀疑自己中了木马。
清除方法:1.删除网络公牛的自启动程序C:WINDOWSSYSTEMCheckDll.exe。
2.把网络公牛在注册表中所建立的键值全部删除:3.检查上面列出的文件,假如发现文件长度发生变化(大约增加了40K左右,能够通过与其它机子上的正常文件比较而知),就删除它们!然后点击“开始→附件→系统工具→系统信息→工具→系统文件检查器”,在弹出的对话框中选中“从安装软盘提取一个文件(E)”,在框中填入要提取的文件(前面你删除的文件),点“确定”按钮,然后按屏幕提示将这些文件恢复即可。
假如是开机时自动运行的第三方软件如:realplay.exe、QQ、ICQ等被捆绑上了,那就得把这些文件删除,再重新安装。
二、Netspy(网络精灵)Netspy又名网络精灵,是国产木马,最新版本为3.0,默认连接端口为7306。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
DLL木马的发现与清除林廷劈(三明学院数学与计算机科学系,福建三明365004)摘要:探讨了DLL木马的危害性,提出了如何发现这种木马的方法以及清除这种新型木马的措施。
关键词:网络安全;DLL木马;发现;清除中图分类号:TP393.08文献标识号:A文章编号:1673-4343(2006)04-0439-04TheDetectionandDeletionoftheDLLTrojanHorseLINTing-pi(DepartmentofMathematicsandComputerScience,SanmingUniversity,Sanming365004,China)Abstract:ThisarticlediscussestheharmoftheDLLBackdoor,pointsouthowtodetectthebackdoorandintroducessomemethodshowtoerasethisnewtypeofbackdoor.Keywords:DLLTrojanHorse;detection;deletion引言木马在如今的网络中,是十分普遍的存在,它的危害不言而喻。
如果你家的电脑经常泄露秘密,一般都是木马的原因。
随着人们对网络安全意识的提高,对木马认识的加强,传统的木马(一个或几个可执行程序)已经很难再隐藏自己,于是出现了一种新型的木马,它就是用DLL文件做成的木马。
这种木马把自己做成一个DLL文件,然后再由某个EXE程序文件作为载体对它进行调用,或者使用RUNDLL32.EXE来启动,通过这样的技术处理,一方面不会有木马本身的进程出现,同时也实现了端口的隐藏。
因此这种木马很难被察觉,也很难清除。
本文针对DLL木马这一问题进行探讨,提出了DLL木马如何发现和清除的方法。
1木马侵入机器的途径和危害木马大多十分隐蔽,在多数情况下,很多机器都是在不知不觉中被种植了木马。
根据笔者的研究发现,木马侵入机器的途径主要有:隐藏在软件包中,一旦用户下载了一个带有木马的软件包,在机器运行安装程序时,木马就会种植在系统中;很多木马都是绑定在某个软件上的,传播木马的玩家很喜欢把木马放在FTP服务器上(或者WEB服务器),然后他会在网络中找各种机会宣传服务器的地址让用户去访问,所以用户下载文件时一定要小心提防;隐藏在带附件的邮件中,这种邮件很多,一些垃圾邮件就经常是这种类型,一旦运行了附件中的文件,那么木马就在你的机器中"安营扎寨"了;当然这种方式的传播对用户来说已经不可怕了,因为很多用户都有一定的警惕性了,不轻易运行附件就可以了;通过即时通信工具进行传播,比如对方把木马和一张很有诱惑力的图片绑在一起,通过QQ发给你,一般情况下你都会打开这图片看看,看完之后你的电脑就中招了;通过不良网站传播,这种情况最难防范,只要你的机器访问对方的网站,就等于“引狼入室”。
目前这种不良网站数量很多,可谓防不胜防。
木马一旦侵入你的系统,无异于用户的一切资料大门洞开,后患无穷,对此不能掉以轻心。
很多木马最喜欢做的事情就是收集用户各种密码,还有的专门记录用户键盘输入的字符。
许多用户认为自己安装了防火墙,也安装了杀毒软件,机器就安全了。
但是道高一尺魔高一丈,随着木马开发者不断地进行技术改进,很多木马都能绕过防火墙的拦截,国内常用的瑞星、天网、毒霸等工具都算不错的防火墙软件,但是这些工具对于木马开收稿日期:2006-08-13作者简介:林廷劈(1973-),男,福建大田人,讲师。
2006年12月第23卷第4期三明学院学报JOURNALOFSANMINGUNIVERSITYDec.2006Vol.23NO.4发者来说太熟悉了,他们轻易就能绕过这些工具的阻拦,从而进入你的系统,一旦木马进入你的系统,很多情况下会让你束手无策,因为很多工具根本无法杀除它,即使是最好的杀毒软件“卡巴斯基”也无可奈何。
于是,很多人都想到一个办法:那就是重装系统!当然,这是没办法的办法。
实际上,我们通过了解和掌握计算机网络的一些防范知识,那些木马并非无迹可寻。
2识别DLL木马的方法首先了解一下DLL文件,DLL(DynamicLinkLibrary)是系统中的动态链接库文件,DLL文件本身并不能够运行,需要应用程序来调用。
当程序运行时,Windows将其装入内存中,并寻找文件中出现的动态链接库文件。
对于每个动态链接,Windows都会装入指定的DLL文件并把它映射到相应虚拟地址空间中。
DLL木马实际就是把一段实现了木马功能的代码加上一些特殊代码写成DLL文件。
DLL文件运行时是插入到应用程序的内存模块当中,所以正在被调用中的DLL文件无法删除。
不管是何种类型的木马,它要“作恶”肯定要通过本地端口与外部电脑连接,只要查看本机开放端口和连接情况,一般就可以找出木马客户端。
查看端口和连接最简单的工具可用netstat命令(格式:netstat--an),通过这个命令可以查找到一些可疑的连接,特别要注意ESTABLISHED,它表示已经建立连接,两台机器正在通信;TIME_WAIT的意思是已经结束连接,说明端口曾经有过访问,但访问结束了;SYN_SENT是本机向其它计算机发出的连接请求,一般这个状态存在的时间很短。
令人遗憾的是,netstat这个命令并不能看到发起连接的进程。
为此,我们还需要借助其他软件的配合使用,微软有一个软件可以很好地解决这个问题,它就是PortReport这个工具,这个工具很小,可以直接到微软的官方网站免费下载,下载地址是:http://www.microsoft.com/downloads/details.aspx?familyid=69ba779b-bae9-4243-b9d6-63e62b4bcd2e&displaylang=en下载完成后,直接安装,然后要激活这项服务,右键点击我的电脑,选择“管理”,在管理窗口中选择“服务”,然后在右边窗口中就可以找到PortReport服务,点击“启动”,接下来就是查看了,找到windows\system32\Logfiles\PortReport文件夹,在这个文件夹下,可以看到三个文件:PR-PIDS-06-08-9-0-0-0.log,PR-PORTS-06-08-9-0-0-0.log和PR-INITIAL-06-08-9-0-0-0.log,这三个文件是一直在更新的,即每开机一次都会自动生成三个新的文件,这里我们要着重查看第一个文件和第三个文件,在文件中会显示出系统运行了哪些进程、访问的IP地址和端口号、以及每个进程所调用的所有DLL文件(这个最重要)等,比如winlogon.exe进程所调用的DLL文件:ProcessID:416(winlogon.exe)Usercontext:NTAUTHORITY\SYSTEMProcessdoesn'tappeartobeaservicePortStatisticsTCPmappings:0UDPmappings:0Loadedmodules:C:\WINDOWS\system32\winlogon.exe(0x01000000)C:\WINDOWS\system32\ntdll.dll(0x77F30000)C:\WINDOWS\system32\kernel32.dll(0x77E10000)C:\WINDOWS\system32\msvcrt.dll(0x77B70000)C:\WINDOWS\system32\ADVAPI32.dll(0x77D60000)C:\WINDOWS\system32\RPCRT4.dll(0x77C20000)C:\WINDOWS\system32\USER32.dll(0x77CD0000)C:\WINDOWS\system32\GDI32.dll(0x77BD0000)C:\WINDOWS\system32\USERENV.dll(0x75870000)C:\WINDOWS\system32\NDdeApi.dll(0x75710000)C:\WINDOWS\system32\CRYPT32.dll(0x760A0000)C:\WINDOWS\system32\MSASN1.dll(0x76080000)C:\WINDOWS\system32\Secur32.dll(0x76EB0000)C:\WINDOWS\system32\WINSTA.dll(0x76150000)C:\WINDOWS\system32\NETAPI32.dll三明学院学报第23卷440・・林廷劈:DLL木马的发现与清除(0x71BA0000)C:\WINDOWS\system32\PROFMAP.dll(0x75700000)C:\WINDOWS\system32\REGAPI.dll(0x76A60000)C:\WINDOWS\system32\WS2_32.dll(0x71B60000)C:\WINDOWS\system32\WS2HELP.dll(0x71B50000)C:\WINDOWS\system32\PSAPI.DLL(0x76AB0000)C:\WINDOWS\system32\VERSION.dll(0x77B60000)C:\WINDOWS\system32\SETUPAPI.dll(0x76480000)C:\WINDOWS\system32\IMM32.DLL(0x76180000)C:\WINDOWS\system32\LPK.DLL(0x63090000)C:\WINDOWS\system32\USP10.dll(0x72EE0000)C:\WINDOWS\KB684745M.LOG(0x10000000)C:\WINDOWS\system32\MSGINA.dll(0x75740000)C:\WINDOWS\system32\SHSVCS.dll(0x76A80000)C:\WINDOWS\system32\SHLWAPI.dll(0x77280000)C:\WINDOWS\system32\sfc.dll(0x76A50000)C:\WINDOWS\system32\sfc_os.dll(0x76B40000)C:\WINDOWS\system32\WINTRUST.dll(0x76B10000)C:\WINDOWS\system32\ole32.dll(0x77150000)C:\WINDOWS\system32\imagehlp.dll(0x76B70000)C:\WINDOWS\system32\apphelp.dll(0x75D60000)C:\WINDOWS\system32\msctfime.ime(0x00850000)C:\WINDOWS\WinSxS\x86_Microsoft.Windows.common-Controls_6595b64144ccf1df_6.0.100.0_x-ww_8417450B\Comctl32.dll(0x70AD0000)C:\WINDOWS\system32\WINSCARD.DLL(0x72360000)C:\WINDOWS\system32\WTSAPI32.dll(0x76E60000)C:\WINDOWS\system32\WINMM.dll(0x769E0000)C:\WINDOWS\system32\sxs.dll(0x75CA0000)C:\WINDOWS\system32\shell32.dll(0x77370000)C:\WINDOWS\system32\wldap32.dll(0x76E70000)C:\WINDOWS\system32\cscdll.dll(0x76410000)C:\WINDOWS\system32\rsaenh.dll(0x0FFD0000)C:\WINDOWS\system32\WlNotify.dll(0x75720000)C:\WINDOWS\system32\WINSPOOL.DRV(0x72F40000)C:\WINDOWS\system32\MPR.dll(0x71B30000)C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_5.82.0.0_x-ww_8A69BA05\COMCTL32.dll(0x70BC0000)C:\WINDOWS\system32\UxTheme.dll(0x71AD0000)C:\WINDOWS\system32\SAMLIB.dll(0x5D000000)C:\WINDOWS\system32\cscui.dll(0x76430000)C:\WINDOWS\system32\NTMARTA.DLL(0x76BC0000)C:\WINDOWS\system32\wdmaud.drv(0x72C40000)C:\WINDOWS\system32\OLEAUT32.dll(0x770D0000)C:\WINDOWS\system32\CLBCatQ.DLL(0x76EF0000)C:\WINDOWS\system32\COMRes.dll(0x76F70000)C:\WINDOWS\system32\msacm32.drv(0x72C30000)C:\WINDOWS\system32\MSACM32.dll第4期・・441(0x77B40000)C:\WINDOWS\system32\midimap.dll(0x77B30000)C:\WINDOWS\system32\wbem\wbemprox.dll(0x74C30000)C:\WINDOWS\system32\wbem\wbemcomn.dll(0x75030000)C:\WINDOWS\system32\wbem\wbemsvc.dll(0x74C20000)C:\WINDOWS\system32\wbem\fastprox.dll(0x75460000)C:\WINDOWS\system32\MSVCP60.dll(0x780C0000)C:\WINDOWS\system32\NTDSAPI.dll(0x76630000)C:\WINDOWS\system32\DNSAPI.dll(0x76E30000)把这些内容保存到某个文件(如t1.txt)中,如果用户对这些DLL文件不熟悉,无法判断是否为系统本身的文件,那么可以找到另一台没有“中毒”机器,通过同样的方法,导出另一个文件t2.txt,把这两个文件放在同一个文件夹下,然后利用工具FC对t1.txt和t2.txt进行比较:FCt1.txtt2.txt>t3.txt,在t3.txt文件中,可以找出哪些不同的地方,如果有DLL后门通过winlogon.exe调用的话,就可以很容易地分析出来。