提到木馬，想必大家是再熟悉不過(guò)了。但是要說(shuō)到DLL木馬，可能還有很多朋友不甚了解。DLL木馬到底是什么，它有何種功能，對(duì)我們的系統(tǒng)會(huì)造成何種危害，如何防范它?本文將為你揭開(kāi)謎底。

我們平時(shí)所見(jiàn)到的木馬大多都是可執(zhí)行文件，這些木馬在系統(tǒng)中隱藏自己的本領(lǐng)有限，很容易暴露。而DLL木馬則不同，它只有一個(gè)文件，依靠動(dòng)態(tài)鏈接程序庫(kù)，由某一個(gè)EXE做為載體，或者使用RunDLL32．exe來(lái)肩動(dòng)，插入到系統(tǒng)進(jìn)程中，以達(dá)到隱藏自身的目的。因此DLL木馬在隱藏技術(shù)上比普通小馬有了質(zhì)的飛躍，當(dāng)然危害性也就大大增加了。下面就讓我們通過(guò)一款DLL木馬“bits”來(lái)了解如何防護(hù)和清除DLL木馬。

什么是DLL木馬

DLL(Dynamic Link Library)即系統(tǒng)的動(dòng)態(tài)鏈接庫(kù)文件。DLL文件本身不可以運(yùn)行，需要應(yīng)用程序調(diào)用。當(dāng)程序運(yùn)行時(shí)，Windows將DLL文件裝入內(nèi)存中，開(kāi)尋找文件中出現(xiàn)的動(dòng)態(tài)鏈接庫(kù)文件。DLL木馬實(shí)際就是把一段實(shí)現(xiàn)了木馬功能的代碼加上一些特殊代碼寫(xiě)成DLL文件，我們知道正在運(yùn)行的程序是不能被關(guān)閉的，而DLL木碼插入到一個(gè)正在運(yùn)行的應(yīng)用程序內(nèi)存模塊中，因此同樣死法刪除，這就是DLL木馬的高明之處。

DLL木馬的危害

DLL木馬的危害主要分為兩方面：一是隱蔽性，由于它可以“寄宿”丁任一應(yīng)用程序的進(jìn)程(包括系統(tǒng)進(jìn)程)，因此我們很難發(fā)現(xiàn)木馬的存在；二是難刪除，上文中我們提到被DLL木馬插入的進(jìn)程是無(wú)法結(jié)束的，因此要想清除它并不容易。

下面結(jié)合實(shí)例來(lái)看看DLL木馬的使用和運(yùn)作過(guò)程。bits是一款著名的DLL木馬，具備了DLL木馬的所有特點(diǎn)，沒(méi)有進(jìn)程，也不開(kāi)肩端口，隱蔽性很強(qiáng)。bits只有一個(gè)DLL文件“bits．dll”，運(yùn)行命令“RUNDLL32．exe bits．dll，install<123456>”即可讓bits進(jìn)駐系統(tǒng)。假設(shè)運(yùn)行bits的計(jì)算機(jī)IP地址為192．168．0．1，黑客可以使用一款網(wǎng)絡(luò)工具“no”，在命令提示符中運(yùn)行它后輸入命令“nc 192．168．0．180”，回車后會(huì)發(fā)現(xiàn)沒(méi)有回顯，此時(shí)再輸入“123456@dancewithdolphin[xell]：777”才能命令bits。這條命令的作用是綁定一個(gè)shell到本機(jī)的777端口，此時(shí)黑客再連接目標(biāo)主機(jī)的777端口，就可以存目標(biāo)汁算機(jī)上執(zhí)行任意命令了。一般的DLL木馬都需要通過(guò)類似方法來(lái)安裝和使用，雖然比普通木馬要來(lái)得麻煩，但是威力是相當(dāng)大的。

bits的清除還是比較簡(jiǎn)單的，首先運(yùn)行注冊(cè)表編輯器，定位到[HKEY_LOCAL_MACHINE＼SYSTEM＼CurrentControlSet＼Services＼RasAuto＼Parameters]，將serviceDLL的鍵值更改為“％SystemRoot％＼System32＼rasauto．dll”，然后將系統(tǒng)目錄system32文件夾下的bits．dll文件刪除即可(如圖1)。

DLL木馬的防范

DLL木馬雖然強(qiáng)大，但是只要注意還是可以防范的。當(dāng)系統(tǒng)存在問(wèn)題時(shí)，可以使用Windows優(yōu)化大師的組件“進(jìn)程管理大師”查看進(jìn)程中的DLL文件，找出隱藏在其中的DLL木馬。在程序上方列表中選中某個(gè)進(jìn)程，再點(diǎn)擊下方的“模塊列表”標(biāo)簽，列表中就會(huì)出現(xiàn)該進(jìn)程包含的DLL文件。如果是系統(tǒng)進(jìn)程，那么DLL文件的發(fā)行商必是“Microsoft”，否則就很有可能是DLL木馬。找到DLL木馬后將進(jìn)程結(jié)束，再根據(jù)路徑刪除DLL木馬即可(如圖2)。

此外，還要及時(shí)更新殺毒軟件。DLL木馬雖然和普通小馬不同，但畢竟是木馬，還是可以被殺毒軟件查殺的，只要我們及時(shí)升級(jí)殺毒軟件病毒庫(kù)，對(duì)防范DLL木馬還是有很大幫助的。

注：本文中所涉及到的圖表、注解、公式等內(nèi)容請(qǐng)以PDF格式閱讀原文。