一直以來，我們都認(rèn)為木馬是以exe結(jié)尾的可執(zhí)行文件，只要不運(yùn)行exe為后綴的文件就可以了。但如果木馬都這么容易辨別，那就不能稱為木馬了。事實(shí)上有很多木馬都不是以exe為后綴的，例如著名的后門木馬工具bits，就是一款dll后門，整個(gè)后門程序只有一個(gè)dll文件，但卻可以實(shí)現(xiàn)非?？植赖男Ч?。那么dll后門木馬是如何運(yùn)作的?我們又該如何清除dll后門木馬呢?請看本文。

★dll后門木馬的來歷

dll(DynamicLinkLibrary)即系統(tǒng)的動態(tài)鏈接庫文件。dll文件本身并不可以運(yùn)行，需要應(yīng)用程序調(diào)用。當(dāng)程序運(yùn)行時(shí)，Windows將dll文件裝入內(nèi)存中，并尋找文件中出現(xiàn)的動態(tài)鏈接庫文件。dll后門木馬實(shí)際就是把一段實(shí)現(xiàn)了木馬功能的代碼加上一些特殊代碼寫成dll文件。我們都知道正在運(yùn)行的程序是不能關(guān)閉的，而dll后門木馬會插入到這個(gè)應(yīng)用程序的內(nèi)存模塊中，因此同樣同樣無法刪除，這就是dll后門木馬的高明之處。

dll后門木馬通常只有一個(gè)文件，依靠動態(tài)鏈接程序庫，由某一個(gè)EXE作為載體，或者使用Rundll32.exe來啟動，插入到系統(tǒng)進(jìn)程中，達(dá)到隱藏自身的目的。因此dll后門木馬在隱藏技術(shù)上比普通木馬有了質(zhì)的飛躍，當(dāng)然危害性也就大大增加了。

dll后門木馬的運(yùn)作方式

dll后門木馬的危害主要分為兩方面：1.隱蔽性，由于其可以“寄宿”于任一應(yīng)用程序的進(jìn)程，包括系統(tǒng)進(jìn)程，因此我們很難發(fā)現(xiàn)其存在。2.難刪除：上文中我們提到被dll后門木馬插入的進(jìn)程是無法結(jié)束的，因此要想清除并不容易。

我們來結(jié)合實(shí)際看看dll后門木馬的使用和運(yùn)作過程。bits是一款著名的dll后門木馬，其具備了dll后門木馬的所有特點(diǎn)，沒有進(jìn)程，也不開啟端口，認(rèn)為：隱蔽性很強(qiáng)，是dll后門木馬的代表。

bits的安裝

bits只有一個(gè)dll文件——bits.dll。點(diǎn)擊“開始”→“運(yùn)行”，輸入“rundll32.exebits.dll,install<123456>”即可成功讓bits進(jìn)駐系統(tǒng)。

▲安裝bits

bits的使用

假設(shè)運(yùn)行bits的計(jì)算機(jī)IP地址為192.168.0.1，黑客可以使用一款網(wǎng)絡(luò)工具nc,在“命令提示符”中運(yùn)行nc后輸入命令“nc192.168.0.180”?；剀嚭髸l(fā)現(xiàn)沒有回顯，此時(shí)我們需要輸入”才能命令bits。這條命令的作用是綁定一個(gè)shell到本機(jī)的777端口，此時(shí)黑客再連接目標(biāo)主機(jī)的777端口就可以在目標(biāo)計(jì)算機(jī)上執(zhí)行任意命令了。一般的dll后門木馬都需要類似的安裝和使用，認(rèn)為：雖然比普通木馬要來得麻煩，但是威力是相當(dāng)大的。

▲連接bits開啟后門

清除木馬

bits的清除還是比較簡單的，首先運(yùn)行注冊表編輯器，定位到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRasAutoParameters，將ServiceDll的鍵值更改為“%SystemRoot%System32\rasauto.dll”即可，然后將系統(tǒng)目錄system32文件夾下的bits.dll刪除即可。

▲清除bits

dll后門木馬的防范

1、當(dāng)系統(tǒng)存在問題時(shí)，我們可以查看進(jìn)程中的dll文件，找出隱藏在其中的dll后門木馬。查看進(jìn)程中的dll文件可以使用Windows優(yōu)化大師的進(jìn)程管理功能，點(diǎn)擊進(jìn)程后，在下方會出現(xiàn)該進(jìn)程中包含的dll文件，如果是系統(tǒng)進(jìn)程，那么其dll文件的發(fā)行商都應(yīng)該是“Microsoft”，否則就很有可能是dll后門木馬。找到dll后門木馬后將進(jìn)程結(jié)束，再根據(jù)路徑將dll后門木馬刪除即可。

2、及時(shí)更新殺毒軟件。dll后門木馬雖然和普通木馬不同，但仍舊是木馬，還是可以被殺毒軟件查殺的，只要我們及時(shí)升級殺毒軟件病毒庫，對防范dll后門木馬還是有很大幫助的。

【編輯推薦】

1. 微軟：后門木馬仍是Windows***威脅
2. 謹(jǐn)防淪為DLL后門木馬及其變種的肉雞
3. 后門木馬隱藏技術(shù)分析
4. 多管齊下 揪出隱藏的后門木馬