日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
實例講解如何利用Excel清除DLL木馬

DLL木馬是一種網(wǎng)絡(luò)黑客的慣用木馬,它在運行時可以依附在很多系統(tǒng)關(guān)鍵進程中,而不出現(xiàn)新的進程信息,所以即便是被檢測出來也無法查殺。但實際上,我們通過Excel軟件,就可以到的清除DLL木馬的目的。

網(wǎng)站建設(shè)哪家好,找創(chuàng)新互聯(lián)公司!專注于網(wǎng)頁設(shè)計、網(wǎng)站建設(shè)、微信開發(fā)、小程序開發(fā)、集團企業(yè)網(wǎng)站建設(shè)等服務(wù)項目。為回饋新老客戶創(chuàng)新互聯(lián)還提供了武昌免費建站歡迎大家使用!

第一步:查找被感染的進程

近日開機上網(wǎng)一段時間后就覺得網(wǎng)速特別的慢,于是便運行“netstat -a -n -o”查看開放的端口和連接,其中進程PID為580發(fā)起的連接極為可疑:狀態(tài)為ESTABLISHED,表示兩臺機器正在通信(見圖1)。通過任務(wù)管理器可以知道這個進程為lsass.exe,根據(jù)進程的解釋,lsass.exe是用于微軟Windows系統(tǒng)的安全機制,它用于本地安全和登陸策略,顯然這個進程是不需要開放端口和外部連接的,據(jù)此判斷該進程極可能插入DLL木馬。如果牧馬者當前沒有進行連接,還可以通過端口狀態(tài)判斷是否中招,如TIME_WAIT的意思是結(jié)束了這次連接,說明端口曾經(jīng)有過訪問,但訪問結(jié)束了,表明已經(jīng)有黑客入侵過本機。 LISTENING表示處于偵聽狀態(tài),等待連接,但還沒有被連接,不過只有TCP協(xié)議的服務(wù)端口才能處于LISTENING狀態(tài)。

小提示:判斷是否中招的前提是要找出被感染的進程,按被插入進程的類別分,DLL木馬大致可以分為:

1.插入常用進程,如Notepad.exe、Iexplorer.exe(此類木馬的判斷很簡單,開機后不啟動任何程序,打開任務(wù)管理器如果發(fā)現(xiàn)上述進程,那就可以判斷中招了)。

2.插入系統(tǒng)進程,如Explorer.exe、lsass.exe(由于每臺電腦開機后都有上述的進程,具體可以通過查看端口和進程本身特性加以判斷,比如本機的lsass.exe、winlogon.exe、explorer.exe就不會開放端口連接)。

3.對于插入本身就開放端口進程如alg.exe、svchost.exe,需要通過連接狀況、連接IP、調(diào)用DLL綜合加以判斷。

第二步:追查木馬真兇

知道被插入DLL木馬的進程,我們就可以通過比較進程調(diào)用的DLL模塊來甑別。

1.到其它正常電腦上啟動命令提示符運行“tasklist /m /fo list >G:\dll1.txt”,將當前進程加載所有DLL文件以列表形式輸出,然后打開dll.txt并復制lsass.exe加載的DLL文件列表。

2……打開Excel,將正常電腦和中招電腦lsass.exe加載的DLL文件復制到A、B列,由于Excel有序號,通過序號就可以輕易發(fā)現(xiàn)兩個lsass.exe加載的DLL文件數(shù)量不同(64和68)?,F(xiàn)在將B列字體設(shè)置為紅色,剪切B列內(nèi)容并粘貼到A列,單擊Excel的“數(shù)據(jù)/排序”,將數(shù)據(jù)重新排序后,木馬文件就在連續(xù)紅色但和上格不相同的DLL文件中,分別是mswsock.dll、PSAPI.DLL、 wshtcpip.dll、share.dll

小提示:

如果無法確定哪個進程被插入木馬,可以先輸出所有DLL文件,然后在Excel中排序和正常狀態(tài)DLL文件比較,依次找出新增的DLL文件一一排查。

第三步:清除DLL木馬文件

從上可以知道DLL木馬就在上述多出的4個文件中,現(xiàn)在通過搜索功能找到這些文件(DLL文件大多在系統(tǒng)目錄,搜索范圍可限制在此),并通過查看屬性最終找到真兇為c:\windows\system32\share.dll.現(xiàn)在進入安全模式將share.dll刪除,然后根據(jù)它的創(chuàng)建時間、大小找到木馬的同伙并刪除。一般微軟系統(tǒng)DLL文件都有版本標簽,而且文件日期大多是一樣的,可以通過這些屬性判斷。

小提示:對于插入notepad、IE、explorer.exe等進程的dll木馬,可以將進程終止后直接清除dll木馬。

第四步:做好備份,防患于未然

相對來說,本例被插入木馬的系統(tǒng)進程比較容易判斷,但是對插入系統(tǒng)本身就開放端口的進程如svchost.exe,判斷起來就比較困難。因此我們平時要用Tasklist命令做好常見系統(tǒng)進程DLL文件備份,這樣就可以在懷疑自己中招時,重啟并關(guān)閉任何無關(guān)程序,然后通過Excel排序快速找到木馬真兇!

注意:系統(tǒng)有多個svchost.exe進程,但是它們進程pid是不同的,需要分開備份。


文章標題:實例講解如何利用Excel清除DLL木馬
本文路徑:http://www.dlmjj.cn/article/ccscooj.html