DLL木马是依靠DLL文件来作恶的

关于动态嵌入式DLL木马病毒的发现及清除43399小游戏/随着MS的操作系统从Win98过渡到Winnt系统（包括2k/xp），MS的任务管理器也一下子脱胎换骨，变得火眼金睛起来（在WINNT下传统木马再也无法隐藏自己的进程），这使得以前在win98下靠将进程注册为系统服务就能够从任务管理器中隐形的木马面临前所未有的危机，所以木马的开发者及时调整了开发思路，所以才会有今天这篇讨论如何清除动态嵌入式DLL 木马的文章。

首先，我们来了解一下什么是动态嵌入式木马，为了在NT系统下能够继续隐藏进程，木马的开发者们开始利用DLL（Dynamic Link Library动态链接库）文件，起初他们只是将自己的木马写成DLL形式来替换系统中负责Win Socket1.x的函数调用wsock32.dll（Win Socket2中则由WS2_32.DLL负责），这样通过对约定函数的操作和对未知函数的转发（DLL 木马替换wsock32.dll时会将之更名，以便实现日后的函数转发）来实现远程控制的功能。

但是随着MS数字签名技术和文件恢复功能的出台，这种DLL马的生命力也日渐衰弱了，于是在开发者的努力下出现了时下的主流木马－－动态嵌入式DLL木马，将DLL木马嵌入到正在运行的系统进程中.explorer.exe、svchost.exe、smss.exe等无法结束的系统关键进程是DLL 马的最爱，这样这样在任务管理器里就不会出现我们的DLL文件，而是我们DLL的载体EXE 文件.当然通过进一步的加工DLL木马还可以实现另外的一些如端口劫持/复用（也就是所谓的无端口）、注册为系统服务、开多线程保护、等功能。

简而言之，就是DLL木马达到了前所未有的隐蔽程度。

那么我们如何来发现并清除DLL木马呢？一，从DLL木马的DLL文件入手，我们知道system32是个捉迷藏的好地方，许多木马都削尖了脑袋往那里钻，DLL马也不例外，针对这一点我们可以在安装好系统和必要的应用程序后，对该目录下的EXE和DLL文件作一个记录：运行CMD--转换目录到system32--dir *.exe>exeback.txt& dir *.dll>dllback.txt，这样所有的EXE和DLL文件的名称都被分别记录到exeback.txt和dllback.txt中，日后如发现异常但用传统的方法查不出问题时，则要考虑是不是系统中已经潜入DLL木马了.这是我们用同样的命令将system32下的EXE和DLL文件记录到另外exeback1.txt和dllback1.txt中，然后运行CMD--fc exeback.txt exeback1.txt>diff.txt & fc dllback.txt dllback1.txt>diff.txt.（用FC命令比较前后两次的DLL和EXE文件，并将结果输入到diff.txt中），这样我们就能发现一些多出来的DLL和EXE文件，然后通过查看创建时间、版本、是否经过压缩等就能够比较容易地判断出是不是已经被DLL木马光顾了。

黑客是如何骗取你执行木马的如今大多数上网的朋友警惕性都很高，想骗取他们执行木马是件很困难的事，因为木马出现这么久，木马两个字听得人们耳朵都长出了老茧，可说是谈"马"色变，即使不是电脑高手都知道，一见到是exe 文件便不会轻易"招惹"它，因而中标的机会也就相对减少了。

对于此，黑客们是不会甘于寂寞的，在黑客的世界里挑战与刺激才是他们趋之若婺的。

1、冒充为图像文件首先，黑客最常使用骗别人执行木马的方法，就是将特洛伊木马说成为图像文件，比如说是照片等，应该说这是一个最不合逻辑的方法，但却是最多人中招的方法，有效而又实用。

只要入侵者扮成美眉及更改服务器程序的文件名(例如sam.exe )为"类似"图像文件的名称，再假装传送照片给受害者，受害者就会立刻执行它。

为甚么说这是一个不合逻辑的方法呢？图像文件的扩展名根本就不可能是exe，而木马程序的扩展名基本上又必定是exe ，明眼人一看就会知道有问题，多数人在接收时一看见是exe文件，便不会接收了，那有什么方法呢? 其实方法很简单，他只要把文件名改变，例如把"sam.exe" 更改为"sam.jpg" ，那么在传送时，对方只会看见sam.jpg 了，而到达对方电脑时，因为windows 默认值是不显示扩展名的，所以很多人都不会注意到扩展名这个问题，而恰好你的计算机又是设定为隐藏扩展名的话，那么你看到的只是sam.jpg 了，受骗也就在所难免了!还有一个问题就是，木马本身是没有图标的，而在电脑中它会显示一个windows 预设的图标，别人一看便会知道了！但入侵者还是有办法的，这就是给文件换个"马甲"，即修改文件图标。

修改文件图标的方法如下:1 . 比如到 下载一个名为IconForge 的软件，再进行安装。

2 . 执行程序，按下File > Open3 . 在File Type 选择exe 类4 . 在File > Open 中载入预先制作好的图标( 可以用绘图软件或专门制作icon 的软件制作，也可以在网上找找) 。

电脑病毒常识：木马病毒的类型木马(Trojan),也称木马病毒，是指通过特定的程序(木马程序)来控制另一台计算机。

木马通常有两个可执行程序：一个是控制端，另一个是被控制端。

以下是店铺给大家整理的电脑病毒常识：木马病毒的类型，希望能帮到你!电脑病毒常识：木马病毒的种类1、破坏型惟一的功能就是破坏并且删除文件，可以自动的删除电脑上的DLL、INI、EXE文件。

2、密码发送型可以找到隐藏密码并把它们发送到指定的信箱。

有人喜欢把自己的各种密码以文件的形式存放在计算机中，认为这样方便;还有人喜欢用WINDOWS 提供的密码记忆功能，这样就可以不必每次都输入密码了。

许多黑客软件可以寻找到这些文件，把它们送到黑客手中。

也有些黑客软件长期潜伏，记录操作者的键盘操作，从中寻找有用的密码。

在这里提醒一下，不要认为自己在文档中加了密码而把重要的保密文件存在公用计算机中，那你就大错特错了。

别有用心的人完全可以用穷举法暴力破译你的密码。

利用WINDOWS API函数EnumWindows和EnumChildWindows对当前运行的所有程序的所有窗口(包括控件)进行遍历，通过窗口标题查找密码输入和出确认重新输入窗口，通过按钮标题查找我们应该单击的按钮，通过ES_PASSWORD查找我们需要键入的密码窗口。

向密码输入窗口发送WM_SETTEXT消息模拟输入密码，向按钮窗口发送WM_COMMAND消息模拟单击。

在破解过程中，把密码保存在一个文件中，以便在下一个序列的密码再次进行穷举或多部机器同时进行分工穷举，直到找到密码为止。

此类程序在黑客网站上唾手可得，精通程序设计的人，完全可以自编一个.3、远程访问型最广泛的是特洛伊马，只需有人运行了服务端程序，如果客户知道了服务端的IP地址，就可以实现远程控制。

以下的程序可以实现观察"受害者"正在干什么，当然这个程序完全可以用在正道上的，比如监视学生机的操作。

程序中用的UDP(User Datagram Protocol，用户报文协议)是因特网上广泛采用的通信协议之一。

dll注入应急案例近年来，随着网络攻击手法的不断更新和演进，DLL注入攻击作为一种有效的攻击技术不断被黑客和恶意分子滥用。

本文将通过一则DLL注入应急案例，探讨该攻击技术的特点、危害性以及应对措施，以提高读者对这一威胁的认识和应对能力。

案例描述某公司近期发现其内部计算机系统出现异常情况，怀疑系统被黑客入侵并进行恶意活动。

经过调查，安全团队发现系统中的某个进程被恶意DLL注入修改，从而导致黑客可以远程操控该进程，并获取系统权限。

DLL注入攻击原理DLL注入攻击是指黑客将恶意动态链接库（DLL）注入到目标进程的内存空间中，以获取目标进程的控制权，从而进行恶意行为。

攻击者通常通过以下几种方式进行DLL注入：1. 远程线程注入：攻击者通过远程线程注入的方式，将恶意DLL 注入到目标进程所在的远程线程中，实现攻击目的。

2. 进程空间注入：攻击者通过进程空间注入的方式，将恶意DLL 注入到目标进程的内存空间中，绕过系统的安全机制。

3. 代码注入：攻击者通过修改目标进程的代码，将DLL加载并执行，实现攻击目的。

DLL注入攻击的危害性DLL注入攻击具有以下危害性：1. 获取系统权限：通过DLL注入攻击，黑客可以获取目标进程的控制权，进而获取系统权限，导致系统完全被黑客控制。

2. 数据泄露：黑客可以利用DLL注入攻击，获取系统中的敏感信息，如用户账号、密码等，进而进行个人信息泄露、商业机密窃取等违法行为。

3. 恶意启动：黑客可以利用DLL注入攻击，在目标进程中启动恶意代码，如勒索软件、恶意挖矿程序等，进一步损害系统正常运行。

应对措施针对DLL注入攻击，我们可以采取以下措施进行应对：1. 加强系统安全性：及时安装系统补丁，强化系统防火墙和安全策略，减少系统漏洞。

2. 使用可信的安全软件：选择正规的安全软件，如防病毒软件、入侵检测系统等，并及时更新和升级。

3. 强化访问控制：限制用户权限，合理划分角色，及时删除不必要的用户账号，防止恶意用户进行攻击。

查看文章DLL木马编写2009年03月24日星期二 16:49以下是我曾经贴在黑客吧的关于自己编写DLL木马的文章，因为没人看，我觉得是不是别人理解不了，所以贴你这交流一下，里面肯定有很多错误，希望你能多多指教！~今天先说说怎样用VC++制作一个属于自己的DLL TDM（木马）。

我写它的目的是让大家了解DLL木马的运行参数，为日后的网络安全出一份自己的力。

※本人警告：请不要利用它做任何违法的事。

一经发现，后果自负！一.DLL木马简介:DLL全称：Dynamic Link Lidrary,动态链接程序库。

DLL的格式和EXE相同，但不能直接执行，它是一个把代码封存在自己内部的程序，只提供函数接口让外面的EXE程序调用。

DLL导出函数在DLL导出表中，DLL 作者会通过文档让其他人知道导出函数的完整功能、参照格式、返回值等信息，便于其他程序员使用自己实现的函数；如他不想公开一些函数，简单的不在文档中提及就可以了；但这样难不倒真正感兴趣的人，比如Windows就有很多未公开的DLL导出函数，高手们利用查看导出表和反编译的手段，得到了很多Windows 的尚未公开的但很有用的导出函数，《Undocumented Winddows A P I》就是一本经典的书籍，全是微软未公开的函数，被系统研究者们奉为圣经！当然，本人还稍微欠缺点火候，也只有简单的TDM和hacker软制作，呵呵！因为DLL文件本身并不可以运行，需要应用程序调用，加载的是到应用程序的内存中，所以运行DLL函数的时候，不会看到DLL的进程，而DLL文件在使用，又无法用普通方法删除（具体删除方法我会在以后有时间的情况下讲解的），所以对隐蔽性、抗删除性有有特殊要求的TDM有很大的吸引力。

DLL木马逐渐成为现在主流的木马编写方式。

二.普通DLL程序的编写：(1)1.打开VC新建一个工程，选择Win32 Dynamic-Link Library工程，即Win32 DLL 工程。

木马病毒的工作原理
木马病毒是一种恶意软件，通过伪装成正常的程序或文件，悄悄地侵入计算机系统，然后进行各种恶意活动。

木马病毒的工作原理如下：
1. 伪装：木马病毒通常伪装成合法、有吸引力的文件或程序，比如游戏、应用程序、附件等。

用户误以为它们是正常的文件，从而下载、安装或打开它们。

2. 入侵：一旦用户执行了木马病毒，它会开始在计算机系统中执行。

木马病毒通常利用系统漏洞或安全弱点，通过各种方式渗透计算机系统，比如通过网络连接、邮件附件、插入可移动存储设备等。

3. 操作控制：一旦木马病毒成功入侵，黑客就可以获取对该计算机的远程控制权限。

黑客可以通过远程命令控制木马病毒执行各种恶意活动，比如窃取用户敏感信息、监控用户活动、劫持计算机资源等。

4. 数据盗窃：木马病毒可以通过键盘记录、屏幕截图、摄像头监控等方式获取用户的敏感信息，比如账号密码、银行信息、个人隐私等。

这些信息被黑客用于非法活动，比如盗用用户账号、进行网络钓鱼、进行网络诈骗等。

5. 破坏和传播：除了窃取信息，木马病毒还可能被黑客用于多种恶意用途。

它们可以删除、修改或破坏计算机上的文件和系统设置，导致系统崩溃或数据丢失。

木马病毒还可以充当“下
载器”，从远程服务器下载其他恶意软件，继续对计算机系统
进行攻击，或者利用计算机系统作为“僵尸网络”中的一员，传播垃圾邮件、进行分布式拒绝服务攻击等。

总结起来，木马病毒工作原理是通过伪装和入侵获取远程控制权限，然后执行各种恶意活动，包括窃取用户信息、破坏系统、传播其他恶意软件等。

用户应采取安全措施，比如安装防病毒软件、保持系统更新、谨慎下载和打开文件，以防止木马病毒的入侵。