恼人的DLL后门完全清除秘诀(3)

　　3，DLL后门的启动特性

　　启动DLL后门的载体EXE是不可缺少的，也是非常重要的，它被称为：Loader。如果没有Loader，那我们的DLL后门如何启动呢？因此，一个好的DLL后门会尽力保护自己的Loader不被查杀。Loader的方式有很多，可以是为我们的DLL后门而专门编写的一个EXE文件；也可以是系统自带的Rundll32.exe，即使停止了Rundll32.exe，DLL后门的主体还是存在的。3721网络实名就是一个例子，虽然它并不是"真正"的后门。

　　二，DLL的清除

　　本节以三款比较有名的DLL后门例，分别为"SvchostDLL.dll""BITS.dll""QoServer.dll"。详细讲解其手工清除方法。希望大家在看过这三款DLL后门的清除方法之后，能够举一反三，灵活运用，在不惧怕DLL后门。其实，手工清除DLL后门还是比较简单的，无非就是在注册表中做文章。具体怎么做，请看下文。

　　1，PortLess BackDoor

　　这是一款功能非常强大的DLL后门程序，除了可以获得Local System权限的Shell之外，还支持如"检测克隆帐户""安装终端服务"等一系列功能（具体可以参见程序帮助），适用Windows2000/xp/2003等系统。程序使用svchost.exe来启动，平常不开端口，可以进行反向连接（最大的特点哦），对于有防火墙的主机来说，这个功能在好不过了。

　　在介绍清除方法之前，我们先来简单的介绍一下svchost.exe这个系统的关键服务：

　　Svchost只是做为服务的宿主，本身并不实现什么功能，如果需要使用Svchost来启动服务，则某个服务是以DLL形式实现的，该DLL的载体Loader指向svchost，所以，在启动服务的时候由svchost调用该服务的DLL来实现启动的目的。使用svchost启动某个服务的DLL文件是由注册表中的参数来决定的，在需要启动服务的下边都有一个Parameters子键，其中的ServiceDll表明该服务由哪个DLL文件负责，并且这个DLL文件必须导出一个ServiceMain()函数，为处理服务任务提供支持。

　　呵呵！看了上边的理论，是不是有点蒙（我都快睡着了），别着急，我们来看看具体的内容。首先我们看一下注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs下的Parameters子键，其键值为%SystemRoot%\system32\rpcss.dll。这就说明：启动RpcSs服务时。Svchost调用WINNT\system32目录下的rpcss.dll。

　　再看看另一个例子，在注册表的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost，里边存放着Svchost启动的组和组内的各个服务，其中netsvcs组的服务最多。要使用Svchost启动某个服务，则该服务名就会出现在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost下。这里有四种方法来实现：

　　1， 添加一个新的组，在组里添加服务名

　　2， 在现有组里添加服务名

　　3， 直接使用现有组里的一个服务名，但是本机没有安装的服务

　　4， 修改现有组里的现有服务，把它的ServiceDll指向自己的DLL后门

　　我测试的PortLess BackDoor使用的第三种方法。

　　好了，我想大家看完了上边的原理，一定可以想到我们清除PortLess BackDoor的方法了，对，就是在注册表的Svchost键下做文章。好，我们现在开始。

　　注：由于本文只是介绍清除方法，使用方法在此略过。