dll文件的作用和dll木马的原理及使用

Posted 2023-03-11

如题 要详细

DLL木马的实现原理是编程者在DLL中包含木马程序代码，随后在目标主机中选择特定目标进程，以某种方式强行指定该进程调用包含木马程序的DLL，最终达到侵袭目标系统的目的。

　　正是DLL程序自身的特点决定了以这种形式加载木马不仅可行，而且具有良好的隐藏性：

　　（1）DLL程序被映射到宿主进程的地址空间中，它能够共享宿主进程的资源，并根据宿主进程在目标主机的级别非法访问相应的系统资源；

　　（2）DLL程序没有独立的进程地址空间，从而可以避免在目标主机中留下"蛛丝马迹"，达到隐蔽自身的目的。

　　DLL木马实现了"真隐藏"，我们在任务管理器中看不到木马"进程"，它完全溶进了系统的内核。与"真隐藏"对应的是"假隐藏"，"假隐藏"木马把自己注册成为一个服务。虽然在任务管理器中也看不到这个进程，但是"假隐藏"木马本质上还具备独立的进程空间。"假隐藏"只适用于Windows9x的系统，对于基于WINNT的操作系统，通过服务管理器，我们可以发现系统中注册过的服务。

　　DLL木马注入其它进程的方法为远程线程插入。

　　远程线程插入技术指的是通过在另一个进程中创建远程线程的方法进入那个进程的内存地址空间。将木马程序以DLL的形式实现后，需要使用插入到目标进程中的远程线程将该木马DLL插入到目标进程的地址空间，即利用该线程通过调用Windows API LoadLibrary函数来加载木马DLL，从而实现木马对系统的侵害。

　　DLL木马注入程序

　　这里涉及到一个非常重要的Windows API――CreateRemoteThread。与之相比，我们所习惯使用的CreateThread API函数只能在进程自身内部产生一个新的线程，而且被创建的新线程与主线程共享地址空间和其他资源。而CreateRemoteThread则不同，它可以在另外的进程中产生线程！CreateRemoteThread有如下特点：

　　（1）CreateRemoteThread较CreateThread多一个参数hProcess，该参数用于指定要创建线程的远程进程，其函数原型为：

HANDLE CreateRemoteThread(
　HANDLE hProcess, //远程进程句柄
　LPSECURITY_ATTRIBUTES lpThreadAttributes,
　SIZE_T dwStackSize,
　LPTHREAD_START_ROUTINE lpStartAddress,
　LPVOID lpParameter,
　DWORD dwCreationFlags,
　LPDWORD lpThreadId
);

　　（2）线程函数的代码不能位于我们用来注入DLL木马的进程所在的地址空间中。也就是说，我们不能想当然地自己写一个函数，并把这个函数作为远程线程的入口函数；

　　（3）不能把本进程的指针作为CreateRemoteThread的参数，因为本进程的内存空间与远程进程的不一样。

　　（4）利用Windows API VirtualAllocEx函数在远程线程的VM中分配DLL完整路径宽字符所需的存储空间，并利用Windows API WriteProcessMemory函数将完整路径写入该存储空间；

　　（5）利用Windows API GetProcAddress取得Kernel32模块中LoadLibraryW函数的地址，这个函数将作为随后将启动的远程线程的入口函数；

　　（6）利用Windows API CreateRemoteThread启动远程线程，将LoadLibraryW的地址作为远程线程的入口函数地址，将宿主进程里被分配空间中存储的完整DLL路径作为线程入口函数的参数以另其启动指定的DLL；

　　（7）清理现场。

　　DLL木马的防治

　　从DLL木马的原理和一个简单的DLL木马程序中我们学到了DLL木马的工作方式，这可以帮助我们更好地理解DLL木马病毒的防治手段。

　　一般的木马被植入后要打开一网络端口与攻击程序通信，所以防火墙是抵御木马攻击的最好方法。防火墙可以进行数据包过滤检查，我们可以让防火墙对通讯端口进行限制，只允许系统接受几个特定端口的数据请求。这样，即使木马植入成功，攻击者也无法进入到受侵系统，防火墙把攻击者和木马分隔开来了。

　　对于DLL木马，一种简单的观察方法也许可以帮助用户发现之。我们查看运行进程所依赖的DLL，如果其中有一些莫名其妙的DLL，则可以断言这个进程是宿主进程，系统被植入了DLL木马。"道高一尺，魔高一丈"，现如今，DLL木马也发展到了更高的境界，它们看起来也不再"莫名其妙"。在最新的一些木马里面，开始采用了先进的DLL陷阱技术，编程者用特洛伊DLL替换已知的系统DLL。特洛伊DLL对所有的函数调用进行过滤，对于正常的调用，使用函数转发器直接转发给被替换的系统DLL；对于一些事先约定好的特殊情况，DLL会执行一些相应的操作。 参考技术A Trojan/Win32 是最近很流行的一个病毒！非常猖狂！
1，清空IE临时文件，cookies.
2，先用在线杀毒看看
http://www.antidu.cn/board/online/
3，下载专杀工具
http://www.antidu.cn/board/zsst/
4，进入安全模式，用专杀工具杀
5，重启后杀毒完毕

实在不行，就去论坛问高手
www.antidu.cn/bbs
去 "电脑急救室" 这个栏目去提问 参考技术B 这是参考资料.你可以看下哈.文件是本身会自动复制很多垃圾文件影响电脑的运行
木马顾名思义当然是盗走我们用户的安全密码等资料
http://203.208.37.104/search?q=cache:9zV4Ak5xY_gJ:hi.baidu.com/badguy/blog/item/97a2620907c77dcd3ac763fd.html+dll%E6%96%87%E4%BB%B6%E7%9A%84%E4%BD%9C%E7%94%A8%E5%92%8Cdll%E6%9C%A8%E9%A9%AC%E7%9A%84%E5%8E%9F%E7%90%86%E5%8F%8A%E4%BD%BF%E7%94%A8&hl=zh-CN&ct=clnk&cd=1&gl=cn&st_usg=ALhdy2-WhYTDxXvR0x2hjSgXsa3_qVcL0g