DLL檔案常識and基本原理及修改方法
一、DLL檔案常識
DLL是Dynamic Link Library的縮寫,意為動態連結庫。在Windows中,許多應用程式並不是一個完整的可執行檔案,它們被分割成一些相對獨立的動態連結庫,即DLL檔案,放置於系統中。當我們執行某一個程式時,相應的DLL檔案就會被呼叫。一個應用程式可有多個DLL檔案,一個DLL檔案也可能被幾個應用程式所共用,這樣的DLL檔案被稱為共享DLL檔案。DLL檔案一般被存放在C:WindowsSystem目錄下
二、修改DLL檔案的具體應用
在系統的組策略和登錄檔中,我們可以修改一些鍵值來優化我們的系統,並加強作業系統的安全性。可是,對於限制下載、禁止刪除檔案等功能,我們無法通過上述的操作來完成,這隻有通過修改系統DLL檔案來實現。目前,我們通過修改系統的DLL檔案,可以實現禁止刪除檔案、禁止IE下載、禁止IE另存為、禁止檔案開啟方式等功能。
三、系統中部分DLL檔案的功能
1、Browselc.dll IE所需要呼叫的庫檔案DLL結構雛形就是它了
2、Shdoclc.dll 系統視窗及設定等,如刪除檔案、重新命名
3、Shell32.dll 系統視窗及設定等,如刪除檔案、重新命名
4、Cryptui.dll IE控制元件下載及提示對話方塊程式
四、修改DLL檔案的方法
1、下載DLL檔案修改工具EXESCOPE6.0-6.3或6.4工具
2、獲取Browselc.dll、Shdoclc.dll、Shell32.dll和Cryptui.dll這幾個連結檔案。在找這幾個檔案時,最好將其他機器的硬碟,掛接在本機中,然後用本機的作業系統啟動並複製這幾個檔案。
3、在修改DLL檔案的時候,開啟該鍵值,在右面的對話方塊中將所要修改的鍵值禁用即可,不要刪除,以備日後恢復
五、DLL檔案修改祕籍
1、禁止下載的修改方法:開啟Shdoclc.dll修改資源--對話方塊---4416,將4416鍵值禁用即可。
2、禁止網頁新增到收藏夾,開啟Shdoclc.dll修改資源--對話方塊---21400,將該鍵值禁用即可。
3、禁止惡意網頁載入控制元件,修改Cryptui.dll檔案,要同時修改5個地方才能完全禁止 資源--對話方塊---130 資源--對話方塊---230 資源--對話方塊---4101 資源--對話方塊---4104 資源--對話方塊---4107 將以各對話方塊中的相應鍵值,修改成為禁用就可以了。
4、禁止系統刪除檔案修改Shell32.dll,這個檔案需要修改5個地方才可以禁止系統刪除檔案。資源--對話方塊---1011 資源--對話方塊---1012 資源--對話方塊---1013 資源--對話方塊---1021 資源--對話方塊---1022 將以上五個地址的鍵值禁用就可以了!
5、禁止檔案被改名,修改shell32.dll,有2個地方需要修改資源--對話方塊---1018 資源--對話方塊---1019 將以上兩處的相應鍵值,修改為禁用就可以了!
6、禁止執行選單,修改shell32.dll,將資源--對話方塊---1018鍵值設定為禁用。
7、禁止系統檔案被挪動修改shell32.dll,需要修改4個地方 資源--對話方塊---1014 資源--對話方塊---1015 資源--對話方塊---1016 資源--對話方塊---1017
8、禁止目標另存為,修改Shdoclc.dll檔案,需要修改3個地方 資源--選單--258---257 資源--選單--258---252 資源--選單--24641--2268 在這個修改中,我們要把各對應的鍵值刪除。開啟該鍵值後,右鍵選單中有刪除。在資源--選單--24641—2268中,有多項該鍵值,請逐一刪除。
9、禁止自定義資料夾選項修改Shell32.dll檔案,需要修改以下4個地方 資源--選單--215---28719 資源--選單--216---28719 資源--選單--217---28719 資源--選單--216---28719 找到以上四處鍵值,直接需要刪除後即可,而不是禁用。
10、禁止IE資料夾選項,修改Browselc.dll檔案,需要修改3個鍵值 資源--選單--263 (這裡有多個請刪除)---41251(刪除) 資源--選單--266(也有多個請刪除)---41329 (刪除) 資源--選單--268---41251 (刪除) 在上面的3個鍵值中,個別鍵值有多處,請逐一刪除。
11、禁止98檔案共享控制元件,修改Msshrui.dll,需要修改2個地方 資源---對話方塊---- 1 --- AutoRadioButton 資源---對話方塊---- 30 --- AutoRadioButton 將以上兩處的鍵值禁用即可。其他的選項,可以根據自己的需要進行修改。找到相應的功能鍵值,將不需要的功能,禁用就可以了。
12、禁止檔案的開啟方式,修改Url.dll,需要修改2個地方 資源---對話方塊--- 7000 資源---對話方塊--- 7005 將以上兩處的鍵值禁用即可。
13、禁止更改系統桌面,修改Shdoc401.dll,有2處地方需要修改 資源---對話方塊--- 29952--- PushButton:瀏覽資源---對話方塊--- 29952--- PushButton:圖案 將以上兩處的鍵值禁用即可。
14、禁止系統資料夾自定義,修改Shd401lc.dll,有2處地方需要修改 資源---對話方塊--- 29957 資源---對話方塊--- 29958 將以上兩處的鍵值禁用即可。
15、禁止檔案儲存路徑及開啟,修改Comdlg32.dll,有2處地方需要修改 資源---對話方塊--- 1547 資源---對話方塊--- 1548 將以上兩處的鍵值禁用即可。
一、DLL檔案常識
DLL是Dynamic Link Library的縮寫,意為動態連結庫。在Windows中,許多應用程式並不是一個完整的可執行檔案,它們被分割成一些相對獨立的動態連結庫,即DLL檔案,放置於系統中。當我們執行某一個程式時,相應的DLL檔案就會被呼叫。一個應用程式可有多個DLL檔案,一個DLL檔案也可能被幾個應用程式所共用,這樣的DLL檔案被稱為共享DLL檔案。DLL檔案一般被存放在C:WindowsSystem目錄下
二、修改DLL檔案的具體應用
在系統的組策略和登錄檔中,我們可以修改一些鍵值來優化我們的系統,並加強作業系統的安全性。可是,對於限制下載、禁止刪除檔案等功能,我們無法通過上述的操作來完成,這隻有通過修改系統DLL檔案來實現。目前,我們通過修改系統的DLL檔案,可以實現禁止刪除檔案、禁止IE下載、禁止IE另存為、禁止檔案開啟方式等功能。
三、系統中部分DLL檔案的功能
1、Browselc.dll IE所需要呼叫的庫檔案DLL結構雛形就是它了
2、Shdoclc.dll 系統視窗及設定等,如刪除檔案、重新命名
3、Shell32.dll 系統視窗及設定等,如刪除檔案、重新命名
4、Cryptui.dll IE控制元件下載及提示對話方塊程式
四、修改DLL檔案的方法
1、下載DLL檔案修改工具EXESCOPE6.0-6.3或6.4工具
2、獲取Browselc.dll、Shdoclc.dll、Shell32.dll和Cryptui.dll這幾個連結檔案。在找這幾個檔案時,最好將其他機器的硬碟,掛接在本機中,然後用本機的作業系統啟動並複製這幾個檔案。
3、在修改DLL檔案的時候,開啟該鍵值,在右面的對話方塊中將所要修改的鍵值禁用即可,不要刪除,以備日後恢復
五、DLL檔案修改祕籍
1、禁止下載的修改方法:開啟Shdoclc.dll修改資源--對話方塊---4416,將4416鍵值禁用即可。
2、禁止網頁新增到收藏夾,開啟Shdoclc.dll修改資源--對話方塊---21400,將該鍵值禁用即可。
3、禁止惡意網頁載入控制元件,修改Cryptui.dll檔案,要同時修改5個地方才能完全禁止 資源--對話方塊---130 資源--對話方塊---230 資源--對話方塊---4101 資源--對話方塊---4104 資源--對話方塊---4107 將以各對話方塊中的相應鍵值,修改成為禁用就可以了。
4、禁止系統刪除檔案修改Shell32.dll,這個檔案需要修改5個地方才可以禁止系統刪除檔案。資源--對話方塊---1011 資源--對話方塊---1012 資源--對話方塊---1013 資源--對話方塊---1021 資源--對話方塊---1022 將以上五個地址的鍵值禁用就可以了!
5、禁止檔案被改名,修改shell32.dll,有2個地方需要修改資源--對話方塊---1018 資源--對話方塊---1019 將以上兩處的相應鍵值,修改為禁用就可以了!
6、禁止執行選單,修改shell32.dll,將資源--對話方塊---1018鍵值設定為禁用。
7、禁止系統檔案被挪動修改shell32.dll,需要修改4個地方 資源--對話方塊---1014 資源--對話方塊---1015 資源--對話方塊---1016 資源--對話方塊---1017
8、禁止目標另存為,修改Shdoclc.dll檔案,需要修改3個地方 資源--選單--258---257 資源--選單--258---252 資源--選單--24641--2268 在這個修改中,我們要把各對應的鍵值刪除。開啟該鍵值後,右鍵選單中有刪除。在資源--選單--24641—2268中,有多項該鍵值,請逐一刪除。
9、禁止自定義資料夾選項修改Shell32.dll檔案,需要修改以下4個地方 資源--選單--215---28719 資源--選單--216---28719 資源--選單--217---28719 資源--選單--216---28719 找到以上四處鍵值,直接需要刪除後即可,而不是禁用。
10、禁止IE資料夾選項,修改Browselc.dll檔案,需要修改3個鍵值 資源--選單--263 (這裡有多個請刪除)---41251(刪除) 資源--選單--266(也有多個請刪除)---41329 (刪除) 資源--選單--268---41251 (刪除) 在上面的3個鍵值中,個別鍵值有多處,請逐一刪除。
11、禁止98檔案共享控制元件,修改Msshrui.dll,需要修改2個地方 資源---對話方塊---- 1 --- AutoRadioButton 資源---對話方塊---- 30 --- AutoRadioButton 將以上兩處的鍵值禁用即可。其他的選項,可以根據自己的需要進行修改。找到相應的功能鍵值,將不需要的功能,禁用就可以了。
12、禁止檔案的開啟方式,修改Url.dll,需要修改2個地方 資源---對話方塊--- 7000 資源---對話方塊--- 7005 將以上兩處的鍵值禁用即可。
13、禁止更改系統桌面,修改Shdoc401.dll,有2處地方需要修改 資源---對話方塊--- 29952--- PushButton:瀏覽資源---對話方塊--- 29952--- PushButton:圖案 將以上兩處的鍵值禁用即可。
14、禁止系統資料夾自定義,修改Shd401lc.dll,有2處地方需要修改 資源---對話方塊--- 29957 資源---對話方塊--- 29958 將以上兩處的鍵值禁用即可。
15、禁止檔案儲存路徑及開啟,修改Comdlg32.dll,有2處地方需要修改 資源---對話方塊--- 1547 資源---對話方塊--- 1548 將以上兩處的鍵值禁用即可。
DLL後門完全清除祕訣
後門!相信這個詞語對您來說一定不會陌生,它的危害不然而欲,但隨著人們的安全意識逐步增強,又加上防毒軟體的"大力支援",使傳統的後門無法在隱藏自己,任何稍微有點計算機知識的人,都知道"查埠""看程序",以便發現一些"蛛絲馬跡"。所以,後門的編寫者及時調整了思路,把目光放到了動態連結程式庫上,也就是說,把後門做成DLL檔案,然後由某一個EXE做為載體,或者使用Rundll32.exe來啟動,這樣就不會有程序,不開埠等特點,也就實現了程序、埠的隱藏。本文以"DLL的原理""DLL的清除""DLL的防範"為主題,並展開論述,旨在能讓大家對DLL後門"快速上手",不再恐懼DLL後門。好了,進入我們的主題。
一,DLL的原理
1,動態連結程式庫
動態連結程式庫,全稱:Dynamic Link
Library,簡稱:DLL,作用在於為應用程式提供擴充套件功能。應用程式想要呼叫DLL檔案,需要跟其進行"動態連結";從程式設計的角度,應用程式需要知道DLL檔案匯出的API函式方可呼叫。由此可見,DLL檔案本身並不可以執行,需要應用程式呼叫。正因為DLL檔案執行時必須插入到應用程式的記憶體模組當中,這就說明了:DLL檔案無法刪除。這是由於Windows內部機制造成的:正在執行的程式不能關閉。所以,DLL後門由此而生!
2,DLL後門原理及特點
把一個實現了後門功能的程式碼寫成一個DLL檔案,然後插入到一個EXE檔案當中,使其可以執行,這樣就不需要佔用程序,也就沒有相對應的PID號,也就可以在工作管理員中隱藏。DLL檔案本身和EXE檔案相差不大,但必須使用程式(EXE)呼叫才能執行DLL檔案。DLL檔案的執行,需要EXE檔案載入,但EXE想要載入DLL檔案,需要知道一個DLL檔案的入口函式(既DLL檔案的匯出函式),所以,根據DLL檔案的編寫標準:EXE必須執行DLL檔案中的DLLMain()作為載入的條件(如同EXE的mian())。做DLL後門基本分為兩種:1)把所有功能都在DLL檔案中實現;2)把DLL做成一個啟動檔案,在需要的時候啟動一個普通的EXE後門。
常見的編寫方法:
(1),只有一個DLL檔案
這類後門很簡單,只把自己做成一個DLL檔案,在登錄檔Run鍵值或其他可以被系統自動載入的地方,使用Rundll32.exe來自動啟動。Rundll32.exe是什麼?顧名思意,"執行32位的DLL檔案"。它的作用是執行DLL檔案中的內部函式,這樣在程序當中,只會有Rundll32.exe,而不會有DLL後門的程序,這樣,就實現了程序上的隱藏。如果看到系統中有多個Rundll32.exe,不必驚慌,這證明用Rundll32.exe啟動了多少個的DLL檔案。當然,這些Rundll32.exe執行的DLL檔案是什麼,我們都可以從系統自動載入的地方找到。
現在,我來介紹一下Rundll32.exe這個檔案,意思上邊已經說過,功能就是以命令列的方式呼叫動態連結程式庫。系統中還有一個Rundll.exe檔案,他的意思是"執行16位的DLL檔案",這裡要注意一下。在來看看Rundll32.exe使用的函式原型:
Void CALLBACK FunctionName (
HWND hwnd,
HINSTANCE hinst,
LPTSTR lpCmdLine,
Int nCmdShow
);
其命令列下的使用方法為:Rundll32.exe DLLname,Functionname [Arguments]
DLLname為需要執行的DLL檔名;Functionname為前邊需要執行的DLL檔案的具體引出函式;[Arguments]為引出函式的具體引數。
(2),替換系統中的DLL檔案
這類後門就比上邊的先進了一些,它把實現了後門功能的程式碼做成一個和系統匹配的DLL檔案,並把原來的DLL檔案改名。遇到應用程式請求原來的DLL檔案時,
DLL後門就啟一個轉發的作用,把"引數"傳遞給原來的DLL檔案;如果遇到特殊的請求時(比如客戶端),DLL後門就開始,啟動並運行了。對於這類後門,把所有操作都在DLL檔案中實現最為安全,但需要的程式設計知識也非常多,也非常不容易編寫。所以,這類後門一般都是把DLL檔案做成一個"啟動"檔案,在遇到特殊的情況下(比如客戶端的請求),就啟動一個普通的EXE後門;在客戶端結束連線之後,把EXE後門停止,然後DLL檔案進入"休息"狀態,在下次客戶端連線之前,都不會啟動。但隨著微軟的"數字簽名"和"檔案恢復"的功能出臺,這種後門已經逐步衰落。
提示:
在WINNT/system32目錄下,有一個dllcache資料夾,裡邊存放著眾多DLL檔案(也包括一些重要的EXE檔案),在DLL檔案被非法修改之後,系統就從這裡來恢復被修改的DLL檔案。如果要修改某個DLL檔案,首先應該把dllcache目錄下的同名DLL檔案刪除或更名,否則系統會自動恢復。
(3),動態嵌入式
這才是DLL後門最常用的方法。其意義是將DLL檔案嵌入到正在執行的系統程序當中。在Windows系統中,每個程序都有自己的私有記憶體空間,但還是有種種方法來進入其程序的私有記憶體空間,來實現動態嵌入式。由於系統的關鍵程序是不能終止的,所以這類後門非常隱蔽,查殺也非常困難。常見的動態嵌入式有:"掛接API""全域性鉤子(HOOK)""遠端執行緒"等。
遠端執行緒技術指的是通過在一個程序中建立遠端執行緒的方法來進入那個程序的記憶體地址空間。當EXE載體(或Rundll32.exe)在那個被插入的程序裡建立了遠端執行緒,並命令它執行某個DLL檔案時,我們的DLL後門就掛上去執行了,這裡不會產生新的程序,要想讓DLL後門停止,只有讓這個連結DLL後門的程序終止。但如果和某些系統的關鍵程序連結,那就不能終止了,如果你終止了系統程序,那Windows也隨即被終止!!!
3,DLL後門的啟動特性
啟動DLL後門的載體EXE是不可缺少的,也是非常重要的,它被稱為:Loader。如果沒有Loader,那我們的DLL後門如何啟動呢?因此,一個好的DLL後門會盡力保護自己的Loader不被查殺。Loader的方式有很多,可以是為我們的DLL後門而專門編寫的一個EXE檔案;也可以是系統自帶的Rundll32.exe,即使停止了Rundll32.exe,DLL後門的主體還是存在的。3721網路實名就是一個例子,雖然它並不是"真正"的後門
二,DLL的清除
本節以三款比較有名的DLL後門例,分別為"SvchostDLL.dll""BITS.dll""QoServer.dll"。詳細講解其手工清除方法。希望大家在看過這三款DLL後門的清除方法之後,能夠舉一反三,靈活運用,在不懼怕DLL後門。其實,手工清除DLL後門還是比較簡單的,無非就是在登錄檔中做文章。具體怎麼做,請看下文。
1,PortLess BackDoor
這是一款功能非常強大的DLL後門程式,除了可以獲得Local
System許可權的Shell之外,還支援如"檢測克隆帳戶""安裝終端服務"等一系列功能(具體可以參見程式幫助),適用Windows2000/xp/2003等系統。程式使用svchost.exe來啟動,平常不開埠,可以進行反向連線(最大的特點哦),對於有防火牆的主機來說,這個功能在好不過了。
在介紹清除方法之前,我們先來簡單的介紹一下svchost.exe這個系統的關鍵服務:
Svchost只是做為服務的宿主,本身並不實現什麼功能,如果需要使用Svchost來啟動服務,則某個服務是以DLL形式實現的,該DLL的載體Loader指向svchost,所以,在啟動服務的時候由svchost呼叫該服務的DLL來實現啟動的目的。使用svchost啟動某個服務的DLL檔案是由登錄檔中的引數來決定的,在需要啟動服務的下邊都有一個Parameters子鍵,其中的ServiceDll表明該服務由哪個DLL檔案負責,並且這個DLL檔案必須匯出一個ServiceMain()函式,為處理服務任務提供支援。
呵呵!看了上邊的理論,是不是有點蒙(我都快睡著了),彆著急,我們來看看具體的內容。首先我們看一下注冊表HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/RpcSs下的Parameters子鍵,其鍵值為%SystemRoot%/system32/rpcss.dll。這就說明:啟動RpcSs服務時。Svchost呼叫WINNT/system32目錄下的rpcss.dll。
再看看另一個例子,在登錄檔的HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows
NT/CurrentVersion/Svchost,裡邊存放著Svchost啟動的組和組內的各個服務,其中netsvcs組的服務最多。要使用Svchost啟動某個服務,則該服務名就會出現在HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows
NT/CurrentVersion/Svchost下。這裡有四種方法來實現:
1, 新增一個新的組,在組裡新增服務名
2, 在現有組裡新增服務名
3, 直接使用現有組裡的一個服務名,但是本機沒有安裝的服務
4, 修改現有組裡的現有服務,把它的ServiceDll指向自己的DLL後門
我測試的PortLess BackDoor使用的第三種方法。
二,DLL的清除
本節以三款比較有名的DLL後門例,分別為"SvchostDLL.dll""BITS.dll""QoServer.dll"。詳細講解其手工清除方法。希望大家在看過這三款DLL後門的清除方法之後,能夠舉一反三,靈活運用,在不懼怕DLL後門。其實,手工清除DLL後門還是比較簡單的,無非就是在登錄檔中做文章。具體怎麼做,請看下文。
1,PortLess BackDoor
這是一款功能非常強大的DLL後門程式,除了可以獲得Local
System許可權的Shell之外,還支援如"檢測克隆帳戶""安裝終端服務"等一系列功能(具體可以參見程式幫助),適用Windows2000/xp/2003等系統。程式使用svchost.exe來啟動,平常不開埠,可以進行反向連線(最大的特點哦),對於有防火牆的主機來說,這個功能在好不過了。
在介紹清除方法之前,我們先來簡單的介紹一下svchost.exe這個系統的關鍵服務:
Svchost只是做為服務的宿主,本身並不實現什麼功能,如果需要使用Svchost來啟動服務,則某個服務是以DLL形式實現的,該DLL的載體Loader指向svchost,所以,在啟動服務的時候由svchost呼叫該服務的DLL來實現啟動的目的。使用svchost啟動某個服務的DLL檔案是由登錄檔中的引數來決定的,在需要啟動服務的下邊都有一個Parameters子鍵,其中的ServiceDll表明該服務由哪個DLL檔案負責,並且這個DLL檔案必須匯出一個ServiceMain()函式,為處理服務任務提供支援。
呵呵!看了上邊的理論,是不是有點蒙(我都快睡著了),彆著急,我們來看看具體的內容。首先我們看一下注冊表HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/RpcSs下的Parameters子鍵,其鍵值為%SystemRoot%/system32/rpcss.dll。這就說明:啟動RpcSs服務時。Svchost呼叫WINNT/system32目錄下的rpcss.dll。
再看看另一個例子,在登錄檔的HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows
NT/CurrentVersion/Svchost,裡邊存放著Svchost啟動的組和組內的各個服務,其中netsvcs組的服務最多。要使用Svchost啟動某個服務,則該服務名就會出現在HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows
NT/CurrentVersion/Svchost下。這裡有四種方法來實現:
1, 新增一個新的組,在組裡新增服務名
2, 在現有組裡新增服務名
3, 直接使用現有組裡的一個服務名,但是本機沒有安裝的服務
4, 修改現有組裡的現有服務,把它的ServiceDll指向自己的DLL後門
我測試的PortLess BackDoor使用的第三種方法。
三,DLL的防範
看了上邊的例子,我想大家對清除DLL後門的方法有了一定的瞭解,但在現實中,DLL後門並不會使用預設的檔名,所以你也就不能肯定是否中了DLL後門。對於DLL後門,system32目錄下是個好地方,大多數後門也是如此,所以這裡要非常注意。下面我來具體介紹一下怎麼發現DLL後門,希望對大家有所幫助。
1,安裝好系統和所有的應用程式之後,備份system32目錄下的EXE和DLL檔案:開啟CMD,來到WINNT/system32目錄下,執行:dir
*.exe>exe.txt & dir
*.dll>dll.txt,這樣,就會把所有的EXE和DLL檔案備份到exe.txt和dll.txt檔案中;日後,如發現異常,可以使用相同的命令再次備份EXE和DLL檔案(這裡我們假設是exe0.txt和dll0.txt),並使用:fc
exe.txt exe0.txt>exedll.txt & fc dll.txt
dll0.txt>exedll.txt,其意思為使用FC命令比較兩次的EXE檔案和DLL檔案,並將比較結果儲存到exedll.txt檔案中。通過這種方法,我們就可以發現多出來的EXE和DLL檔案,並通過檔案大小,建立時間來判斷是否是DLL後門。
2,使用記憶體/模組工具來檢視程序呼叫的DLL檔案,比如Windows優化大師中的Windows 程序管理
2.5。這樣,可以發現程序到底呼叫了什麼DLL檔案,在結合上邊用FC命令比較出來的結果,又能進一步來確定是否中了DLL後門。如果沒有優化大師,可以使用TaskList,這個小工具也可以顯示程序呼叫的DLL檔案,而且還有原始碼,方便修改。
3,普通後門連線需要開啟特定的埠,DLL後門也不例外,不管它怎麼隱藏,連線的時候都需要開啟埠。我們可以用netstat
-an來檢視所有TCP/UDP埠的連線,以發現非法連線。大家平時要對自己開啟的埠心中有數,並對netstat
-an中的state屬性有所瞭解。當然,也可以使用Fport來顯示埠對應的程序,這樣,系統有什麼不明的連線和埠,都可以盡收眼底。
4,定期檢查系統自動載入的地方,比如:登錄檔,Winstart.bat,Autoexec.bat,win.ini,system.ini,wininit.ini,Autorun.inf,Config.sys等。其次是對服務進行管理,對系統預設的服務要有所瞭解,在發現有問題的服務時,可以使用Windows
2000 Server Resource
Kit中的SC來刪除。以上這些地方都可以用來載入DLL後門的Loader,如果我們把DLL後門Loader刪除了,試問?DLL後門還怎麼執行?!
通過使用上邊的方法,我想大多數DLL後門都可以"現形",如果我們平時多做一些備份,那對查詢DLL後門會起到事半功倍的效果。
相關推薦
DLL檔案常識and基本原理及修改方法
一、DLL檔案常識 DLL是Dynamic Link Library的縮寫,意為動態連結庫。在Windows中,許多應用程式並不是一個完整的可執行檔案,它們被分割成一些相對獨立的動態連結庫,即DLL檔案,放置於系統中。當我們執行某一個程式時,相應的DLL檔案就會被呼叫。
960 Grid System 基本原理及使用方法
由於一些讀者對於960 Grid System CSS Framework的原理和使用方法比較感興趣,暴風彬彬今天將和大家一同分享這篇關於960 grid CSS Framework的基本原理和簡單的使用方法。 關於CSS框架其實一直是一個比較熱門且很有爭議的話題,的確,國內的一些前端er們越來越
Node + js實現大檔案分片上傳基本原理及實踐(一)
閱讀目錄 一:什麼是分片上傳? 二:理解Blob物件中的slice方法對檔案進行分割及其他知識點 三. 使用 spark-md5 生成 md5檔案 四. 使用koa+js實現大檔案分片上傳實踐 回到頂部 一:什麼是分片上傳? 分片上傳是把一個大的檔案分成若干塊,一塊一塊的傳輸。這
微信公眾平臺開發教程(二) 基本原理及消息接口
username 普通用戶 縮放 地理位置 cfb 位置 註意 獲得 基本 一、基本原理 在開始做之前,大家可能對這個很感興趣,但是又比較茫然。是不是很復雜?很難學啊? 其實恰恰相反,很簡單。為了打消大家的顧慮,先簡單介紹了微信公眾平臺的基本原理。 微信服務器就相當於一個轉
幾張圖幫你理解 docker 基本原理及快速入門
uil dir commit -name name 地址 什麽 生成 作者 http://www.cnblogs.com/SzeCheng/p/6822905.html 寫的非常好的一篇文章,不知道為什麽被刪除了。 利用Google快照,做個存檔。 快照地址:
MySql數據庫的基本原理及指令
es2017 price 命令 focus href targe chan 刪除數據庫 結構 1.什麽是數據庫 數據庫就是存儲數據的倉庫,其本質是一個文件系統,數據按照特定的格式將數據存儲起來,用戶可以通過SQL對數據庫中的數據進行增加,修改,刪除及查詢操作。 2、簡介 M
python爬蟲基本原理及入門
http safari pre col 分享圖片 ade 如果 渲染 登陸百度 爬蟲:請求目標網站並獲得數據的程序 爬蟲的基本步驟: 使用python自帶的urllib庫請求百度: import urllib.request response = urllib.req
前端hash路由基本原理,及代碼的基本實現
alt ide class javascrip r.js border pop display 早期 路由就是指隨著瀏覽器地址欄的變化,展示給用戶的頁面也不相同。 早期的路由都是後端實現的,直接根據 url 來 reload 頁面,頁面變得越來越復雜服務器端壓力變大,隨著
keepalived vip漂移基本原理及選舉算法
認證 emca 如何 虛擬ip 目的 環境 priority 運行 imp keepalived可以將多個無狀態的單點通過虛擬IP(以下稱為VIP)漂移的方式搭建成一個高可用服務,常用組合比如 keepalived+nginx,lvs,haproxy和memcached等。
Django爬蟲基本原理及Request和Response分析
detail 密碼 href Go 模塊 ica 正則表達式 ons CI 一、爬蟲互聯網是由網絡設備(網線,路由器,交換機,防火墻等等)和一臺臺計算機連接而成,像一張網一樣。互聯網的核心價值在於數據的共享/傳遞:數據是存放於一臺臺計算機上的,而將計算機互聯到一起的目的就是
UITabBarController的基本原理及使用(一)
公眾號 展示 應該 -c 網絡 頁面 cimage 狀態 選擇 前言 UITabBarController在iOS開發中是一個高頻使用的控制器,典型的案例如QQ、微信均使用UITabBarController布局。本文將從一個新建工程,和大家一起了解UITabBarCont
UITabBarController的基本原理及使用(二)
tco second pre 我們 ini view 行修改 其它 ans 繼續我們的UITabBarController探索之旅,如果你錯過了之前的文章,給你一個傳送門,建議按順序閱讀。UITabBarController的基本原理及使用(一) 繼續第一回往下講,前面我們
LTE關鍵技術之一:OFDMA(OFDM基本原理及簡單例項應用)
OFDM即正交頻分複用(Orthogonal Frequency Division Multiplexing),是多載波調製的一種,通俗來說就是通過多條互相沒有關係的通道傳輸不同的資訊。OFDM現在主要用於4G通訊上
ansible之基本原理及命令
什麼是ansible ansible是新出現的自動化運維工具,基於Python開發,集合了眾多運維工具(\(puppet、chef、func、fabric\))的優點,實現了批量系統配置、批量程式部署、批量執行命令等功能。 ansible是基於 paramiko 開發的,並且基於模組化工作,本身沒有批量部
卡爾曼濾波基本原理及公式推導
一、卡爾曼濾波基本原理 既然是濾波,那肯定就是一種提純資料的東西。怎麼理解呢,如果現在有一個任務,需要知道家裡橘子樹今年長了多少個橘子。你想到去年、前年、大前年這三年你把橘子吃到過年,按每天吃3個來算,大概知道每年橘子樹產了多少橘子,今年的情況應該也差不多。這叫數學模型預測法;不過你懶得去想去年
docker 基本原理及快速入門
什麼是docker Docker 是一個開源專案,誕生於 2013 年初,最初是 dotCloud 公司內部的一個業餘專案。它基於 Google 公司推出的 Go 語言實現。 專案後來加入了 Linux 基金會,遵從了 Apache 2.0 協議,專案程式碼在 GitHub 上進行維
線性判別分析(LDA)基本原理及實現
前言 在主成分分析(PCA)原理總結(機器學習(27)【降維】之主成分分析(PCA)詳解)中對降維演算法PCA做了總結。這裡就對另外一種經典的降維方法線性判別分析(Linear Discriminant Analysis, 簡稱LDA)做一個總結。LDA在模式識別領域(比如
HDFS應用場景、原理、基本架構及使用方法概述
以下主要參考小象科技的董西成老師的視訊 1. HDFS概述 2. HDFS基本架構和原理 3. HDFS程式設計 4. HDFS 2.0新特性 一、HDFS概述 HDFS是什麼? 1、源自於Google的GFS論文,發表於2003年10月,HDFS是GFS克隆版
ceph儲存分散式系統設計系列 -- 基本原理及高可用策略
“分散式系統設計”系列第一篇文章,這篇文章主要介紹一些入門的概念和原理,後面帶來一些高可用、資料分佈的實踐方法!! ==> 分散式系統中的概念 ==> 分散式系統與單節點的不同 ==> 分散式系統特性 ==> 分散式系統設計策略 ==>
遊戲外掛基本原理及實現
遊戲外掛已經深深地影響著眾多網路遊戲玩家,今天在網上看到了一些關於遊戲外掛編寫的技術,於是轉載上供大家參考 1、遊戲外掛的原理 外掛現在分為好多種,比如模擬鍵盤的,滑鼠的,修改資料包的,還有修改本地記憶體的,但好像沒有修改伺服器記憶體的哦,呵呵。其實修改伺服器也是有辦法的,只是技術太高一般人沒有辦法入