一、dll型木馬

[原理]

dll文件也叫動態(tài)鏈接程序庫。當(dāng)exe程序運(yùn)行時(shí)，會同時(shí)調(diào)用很多dll文件來實(shí)現(xiàn)擴(kuò)展功能。此時(shí)如果木馬對dll映像實(shí)施劫持，對系統(tǒng)文件或其他程序進(jìn)行惡意的注入，就可以達(dá)到竊取機(jī)密文件、篡改系統(tǒng)關(guān)鍵位置、隱藏自身等目的。因此dll木馬可以稱作注入型木馬，也可以叫映像劫持木馬。

[特點(diǎn)]

可以將任何一種病毒做成dll型，著名的極光病毒就是一個(gè)集成性質(zhì)的蠕蟲。具有極高的免殺性，隱蔽能力強(qiáng)。反殺毒軟件的效率較高。再生能力強(qiáng)，一般情況下重裝系統(tǒng)無法清除。除常規(guī)感染外，還可以注入到rar等其他文件中。

[各種常見加載方式]

1.利用系統(tǒng)中的rundll32.exe加載。這是指將木馬只做成一個(gè)DLL文件，在注冊表Run鍵值或其他可以被系統(tǒng)自動加載的地方，使用Rundll32.exe來自動啟動。

2.替換系統(tǒng)中的DLL文件。它把實(shí)現(xiàn)了后門功能的代碼做成一個(gè)和系統(tǒng)匹配的DLL文件，并把原來的DLL文件改名。遇到應(yīng)用程序請求原來的DLL文件時(shí)，DLL后門就啟一個(gè)轉(zhuǎn)發(fā)的作用，把"參數(shù)"傳遞給原來的DLL文件；如果遇到特殊的請求時(shí)，DLL后門就開始啟動并運(yùn)行。

3.dll注入技術(shù)，即嵌入式。其意義是將DLL文件嵌入到正在運(yùn)行的系統(tǒng)進(jìn)程當(dāng)中。在Windows系統(tǒng)中，每個(gè)進(jìn)程都有自己的私有內(nèi)存空間，但還是有種種方法來進(jìn)入其進(jìn)程的私有內(nèi)存空間，來實(shí)現(xiàn)動態(tài)嵌入式。由于系統(tǒng)的關(guān)鍵進(jìn)程是不能終止的，所以這類后門非常隱蔽，查殺也非常困難。常見的動態(tài)嵌入式有："掛接API""全局鉤子（HOOK）""遠(yuǎn)程線程"等。

[著名dll后門木馬]

lpk.dll/usp10.dll

SvchostDLL.dll

BITS.dll

QoServer.dll

二、exe類可直接執(zhí)行木馬病毒

[原理]

這個(gè)不能籠統(tǒng)地說什么原理。任何一款木馬病毒都可以做成exe型，不同的exe木馬原理不同，功能也不同。

[特點(diǎn)]

直接以exe文件出現(xiàn)。常常會進(jìn)行加殼加花等免殺處理，以及外觀偽裝。常常與各種正常軟件捆綁在一起，或者偽裝成正常的軟件。運(yùn)行后不會有任何跡象，除非被殺軟發(fā)現(xiàn)。如果免殺不當(dāng)，容易被主動防御截獲。由于是可執(zhí)行文件，隱蔽能力不強(qiáng)。一般情況下，exe型木馬主要用來盜號或作為間諜軟件，也有可能充當(dāng)下載者。其實(shí)dll病毒充當(dāng)下載者，再下載exe木馬，是一種常見搭配。

[各種常見運(yùn)行方式]

這個(gè)真的不好說。exe只是一種形式。畢竟不同木馬原理不同，.exe不能用來分類木馬。當(dāng)然，常用的是，可以掛鉤到常見軟件來激活運(yùn)行，也可以加載到注冊表。除此之外，欺騙用戶人為點(diǎn)擊是目前最常用的方法。

[著名exe木馬]

灰鴿子類型遠(yuǎn)控木馬

wow各種盜號程序

winlogon.exe

iexplore.exe

Explorer.exe
 

【編輯推薦】

1. DDL“隱私大盜”木馬專偷安卓短信、Gmail等隱私
2. 只需一招 手無寸鐵輕易清除“dll后門木馬”
3. 謹(jǐn)防淪為DLL后門木馬及其變種的肉雞
4. 后門木馬隱藏技術(shù)分析