动态嵌入式DLL木马发现与清除方法(1)

　　随着MS的操作系统从Win98过渡到Winnt系统(包括2k/xp)，MS的任务管理器也一下子脱胎换骨，变得火眼金睛起来(在WINNT下传统木马再也无法隐藏自己的进程)，这使得以前在win98下靠将进程注册为系统服务就能够从任务管理器中隐形的木马面临前所未有的危机，所以木马的开发者及时调整了开发思路，所以才会有今天这篇讨论如何清除动态嵌入式DLL木马的文章。

　　首先，我们来了解一下什么是动态嵌入式木马，为了在NT系统下能够继续隐藏进程，木马的开发者们开始利用DLL(Dynamic Link Library动态链接库)文件，起初他们只是将自己的木马写成DLL形式来替换系统中负责Win Socket1.x的函数调用wsock32.dll(Win Socket2中则由WS2_32.DLL负责)，这样通过对约定函数的操作和对未知函数的转发(DLL木马替换wsock32.dll时会将之更名，以便实现日后的函数转发)来实现远程控制的功能。但是随着MS数字签名技术和文件恢复功能的出台，这种DLL马的生命力也日渐衰弱了，于是在开发者的努力下出现了时下的主流木马--动态嵌入式DLL木马,将DLL木马嵌入到正在运行的系统进程中.explorer.exe、svchost.exe、smss.exe等无法结束的系统关键进程是DLL马的最爱，这样这样在任务管理器里就不会出现我们的DLL文件，而是我们DLL的载体EXE文件.当然通过进一步的加工DLL木马还可以实现另外的一些如端口劫持/复用(也就是所谓的无端口)、注册为系统服务、开多线程保护、等功能。简而言之，就是DLL木马达到了前所未有的隐蔽程度。

　　那么我们如何来发现并清除DLL木马呢?

　　一，从DLL木马的DLL文件入手，我们知道system32是个捉迷藏的好地方，许多木马都削尖了脑袋往那里钻，DLL马也不例外。