“DLL技术”木马进程内幕大揭密

五、DLL木马技术分析

编写DLL木马并不是一些人想象的那么容易写的。要写一个能用的DLL木马，需要了解更多关于操作系统底层的知识。

1.木马的主体

千万别把木马模块写得真的像个API库一样，这不是开发WINAPI。DLL木马可以导出几个辅助函数，但是必须有一个过程负责主要执行代码，否则这个DLL只能是一堆零碎API函数，别提工作了。如果涉及一些通用代码，可以在DLL里写一些内部函数，供自己的代码使用，而不是把所有代码都开放成接口，这样它自己本身都难调用了，更不可能发挥作用。

DLL木马的标准执行入口为DllMain，所以必须在DllMain里写好DLL木马运行的代码，或者指向DLL木马的执行模块。

2.动态嵌入技术

Windows中，每个进程都有自己的私有内存空间，别的进程是不允许对这个私人领地进行操作的，但是，实际上我们仍然可以利用种种方法进入并操作进程的私有内存，这就是动态嵌入，它是将自己的代码嵌入正在运行的进程中的技术。动态嵌入有很多种，最常见的是钩子、API以及远程线程技术，现在的大多数DLL木马都采用远程线程技术把自己挂在一个正常系统进程中。其实动态嵌入并不少见，罗技的MouseWare驱动就挂着每一个系统进程。远程线程技术就是通过在另一个进程中创建远程线程（RemoteThread）的方法进入那个进程的内存地址空间。在DLL木马的范畴里，这个技术也叫做“注入”，当载体在那个被注入的进程里创建了远程线程并命令它加载DLL时，木马就挂上去执行了，没有新进程产生，要想让木马停止惟有让挂接这个木马DLL的进程退出运行。但是，很多时候我们只能束手无策——它和Explorer.exe挂在一起了。

3.木马的启动

DLL不能独立运行，所以无法在启动项目里直接启动它。要想让“马儿”顺利地跑起来，就需要一个EXE使用动态嵌入技术让DLL挂上其他正常进程，让被嵌入的进程调用这个DLL的DllMain函数，激活木马运行，最后启动木马的EXE结束运行，木马启动完毕。启动DLL木马的EXE非常重要，它被称为加载（Loader）。所以，一个相对比较成熟的DLL木马会想办法保护它的Loader不会那么容易被发现和毁灭。

Loader可以是多种多样的，Windows的rundll32.exe也被一些DLL木马用来做了Loader，这种木马一般不带动态嵌入技术，它直接挂着rundll32进程运行，用rundll32的方法像调用API一样去引用这个DLL的启动函数激发木马模块开始执行，即使你杀了rundll32，木马本体还是在的，一个最常见的例子就是3721中文实名，虽然它不是木马。

注册表的AppInit_DLLs键也被一些木马用来启动自己，如求职信病毒。利用注册表启动，就是让系统执行DllMain来达到启动木马的目的。因为它是kernel调入的，对这个DLL的稳定性有很大要求，稍有错误就会导致系统崩溃，所以很少看到这种木马。有一些更复杂点的DLL木马通过svchost.exe启动，这种DLL木马必须写成NT-Service，入口函数是ServiceMain，一般很少见，但是这种木马的隐蔽性也不错，而且Loader有保障。

4.寥寥无几

由于DLL木马挂着系统进程运行，如果它本身写得不好，例如没有防止运行错误的代码或者没有严格规范用户的输入，DLL就会很容易出错并崩溃。但是DLL崩溃会导致它挂着的程序跟着遭殃，别忘记它挂接的可是系统进程啊，结局就是……惨不忍睹。所以写一个能公布的DLL木马，在排错检查方面做的工作要比一般的EXE木马多，甚至写得多了连编写者自己都会烦躁不已！

六、DLL木马的发现和查杀

经常看看启动项有没有多出莫名其妙的项目，这是Loader的所在。而DLL木马本体比较难发现，，在Loader里查找DLL名称，或者从进程里看有没有挂接什么陌生的DLL！但是，对于一些计算机的初级用户来说，这样的发现过程是非常困难的！因此，最简单的方法：杀毒软件和防火墙！