DLL注入之杀毒

DLL注入之杀毒

1、方法一：与DLL注入过程类似

和DLL的注入过程类似，只不过在这里使用了两个API：GetModuleHandle和FreeLibrary。以下略去了与注入部分相似或相同的代码：

// 使目标进程调用GetModuleHandle，获得DLL在目标进程中的句柄

DWORD dwHandle, dwID;

LPVOID pFunc = GetModuleHandleA;

HANDLE hThread = CreateRemoteThread( hProcess, NULL, 0, (LPTHREAD_START_ROUTINE)

pFunc, lpBuf, 0, &dwID );

// 等待GetModuleHandle运行完毕

WaitForSingleObject( hThread, INFINITE );

// 获得GetModuleHandle的返回值

GetExitCodeThread( hThread, &dwHandle );

// 释放目标进程中申请的空间

VirtualFreeEx( hProcess, lpBuf, dwSize, MEM_DECOMMIT );

CloseHandle( hThread );

// 使目标进程调用FreeLibrary，卸载DLL

pFunc = FreeLibrary;

hThread = CreateRemoteThread( hProcess, NULL, 0,

(LPTHREAD_START_ROUTINE)pFunc,

(LPVOID)dwHandle, 0, &dwID );

// 等待FreeLibrary卸载完毕

WaitForSingleObject( hThread, INFINITE );

CloseHandle( hThread );

CloseHandle( hProcess );

此方法可以卸载一个进程中的DLL模块，当然包括那些非病毒体的DLL。需谨慎使用

在完成卸载之后，如果没有别的程序加载这个DLL，就可以删除了。

2、法二：采用查杀工具

1．安装木马查杀工具。对于多数人来说，要想通过手工查杀DLL木马是不太现实的，因此安装一款可以查杀此类木马的反病毒软件，是非常有必要的。应及时升级病毒数据库，这样才能保证有效地查杀绝大部分木马病毒。也可以在计算机中安装那些专门针对木马的查杀工具，例如木马克星。

2．查看是否有不明端口开放以及对端口通信进行监控。只要木马进行连接，接受／发送数据则必然会打开端口，DLL木马也不例外，可以通过“Netstat－ano”命令来查看TCP／UDP端口的连接，以及开放端口的进程标识符。也可以直接使用进程端口查看工具Fport.exe来查看与端口对应的进程，以发现是否有不明的连接和端口开放。另外，有些DLL木马通过端口劫持或者端口重用的方法来进行通信，所以仅是查看端口还是不够的，有必要的话，可使用嗅探器来了解打开的端口到底在传输些什么数据。

3．检查系统目录下是否有可疑的DLL文件。安装好系统和所有应用程序之后，可对系统目录下System32文件夹中的EXE和DLL文件作一记录：在命令提示符下执行“dir＊.exe>bak1.txt＆dir＊.dll>bak2.txt”，将所有的EXE和DLL文件信息导出成TXT文件保存。当日后发现异常时，可以使用相同的命令再次备份，并使用FC命令比较两次的EXE文件和DLL文件。通过这种方法，我们可以发现可疑的EXE和DLL文件，同时通过文件的大小、创建时间来判断是否为DLL木马。

4．查看系统进程调用的DLL文件。怀疑有DLL木马插入到系统进程，可以使用一些第三方进程工具来查看进程所调用的DLL文件，然后进一步确认是否中了DLL木马。此类查看工具有进程猎手、进程间谍等等。另外，也可以使用XP系统自带的命令行工具TaskList，来显示进程调用的DLL文件，并将这些信息导出成TXT文件保存，以便随时进行比较。

方法三：找出寄生的EXE

警报，病毒无法清除

如果系统中被植入了DLL木马，会出现以下情况:

首先，系统被黑客远程控制，出现数据丢失等情况；其次，杀毒软件会报警系统中有病毒，但是却无法进行清除。例如，电脑上安装的杀毒软件提示发现病毒，但是在删除DLL病毒文件时却失败了。即使手工删除病毒文件，也会因为DLL文件正在使用中，所以也无法彻底删除。即使进入安全模式，得到的也是同样的结果。
另外，由于DLL木马是插入到系统进程中的，因此通过任务管理器等进程工具，也无法发现任何木马进程，这给木马的清除带来了很大的困难。

如何清除DLL注入式木马:

虽然木马没有自己的进程，但是有一个宿主进程，只要结束宿主进程，停止DLL文件的调用，就可以删除DLL文件，进而清除木马。因此，清除DLL木马的第一步，就是找到木马注入的宿主进程。

从杀毒软件的报警提示中就可以知道木马DLL文件名。因此，就可以通过一些查看进程调用DLL文件的进程管理工具，找到该文件的宿主进程，比如ICESword。

运行IceSword后，点击左侧边栏“查看→进程”，就可以在其右侧窗口中看到所有进程列表。右键点击某进程，在弹出菜单中选择“模块信息”命令，即可看到该进程调用的所有DLL文件。

提示：DLL注入式木马通常是将DLL文件，加载到explorer.exe、svchost.exe、winlogon.exe、iexplore.exe等系统进程中的。因此在查找DLL宿主文件时，可以关闭其它无关的程序，然后依次检查这几个进程中的DLL文件。

如何快速的定位木马的宿主进程:

可以使用一款名为“procexp”的进程管理工具。运行procexp后，在程序界面中间显示的是树状进程关系列表，下方是每个进程的详细信息。点击菜单“Find→Find DLL”命令，打开DLL文件查找对话框，在“DLL Substring”中输入要查找的关键词，输入杀毒软件扫描出的DLL文件名。然后点击“Search”按钮，在下方的列表中就可以看到该DLL文件是被哪个进程调用的了。

清除普通进程DLL注入木马:

对于大部分DLL注入木马，其注入到“iexplore.exe”和“explorer.exe”这两个进程。对于这类普通进程的DLL木马，清除将是非常方便的。

如果DLL文件是注入到“iexplore.exe”进程中，由于此进程就是IE浏览器进程，因此就需要先关掉所有IE窗口和相关程序，然后直接找到DLL文件进行删除就可以了。

如果DLL文件是注入到“explorer.exe”进程中，那么就略微麻烦一些。由于此进程用于显示桌面和资源管理器，因此，当通过任务管理器结束掉“explorer.exe”进程时，桌面无法看到，桌面上所有图标消失掉，“我的电脑”、"网上邻居"等所有图标都不见了，同时，也无法打开资源管理器找到木马文件进行删除。实际上，解决的方法也很简单。在任务管理器中点击菜单“文件→新任务运行”，打开“创建新任务”对话框，点击“浏览”按钮，通过浏览对话框就可以打开DLL文件所在的路径。然后选择“文件类型”为“所有文件”，即可显示并删除DLL文件了。

清除特殊DLL注入木马:

除了注入普通进程的DLL木马之外，还有许多木马注入到系统里关键进程中，比如svchost.exe、smss.exe、winlogon.exe进程。这些进程使用普通方式无法结束，使用特殊工具结束掉进程后，却又很可能造成系统崩溃无法正常运行的情况。

使用IceSword卸载DLL文件

IceSword的功能十分强大，在这里，就可以利用它卸载掉已经插入到正在运行的系统进程中的DLL文件。在IceSword的进程列表显示窗口中，右键点击DLL木马宿主进程，选择弹出命令“模块信息”。在进程模块信息对话框中找到DLL木马文件，选择文件后点击“强制解除”命令，即可将系统进程中的DLL木马文件卸载掉