无处可逃 小编带你揭开DLL木马神秘面纱(2)

　　②.分析

　　既然是插入进程的DLL木马，通过查看“winlogon.exe”进程加载DLL模块应该可以找出“真凶”。查看模块利用免费软件“prcmgrWindows进程管理器”，运行软件后选中进程并切换到“进程模块”选项卡，接着单击“导出列表”，将加载列表导出为TXT文件(如图3)。

   下载Windows进程管理器

图3 将加载列表导出为TXT文件

　　小提示

　　若木马插入到“Explorer”、“Iexplorer.exe”等进程中，由于启动的应用程序不同，则加载的DLL模块也是不同的，为便于比较最好关闭所有不必要的程序再进行导出。

　　③.查找木马

　　用上文的方法到另一台电脑中同样导出“winlogon.exe”进程加载的DLL模块文件，用记事本打开这两个文件比较，可以看到中招电脑上进程模块比正常电脑多出14个(如图4)，现在一一比较将相同模块文件删除后，顺利找到多出的14个DLL文件，经查看文件属性获知，“e:\windows\rundll.dll”为非微软“制造”，它就是DLL木马。

图4 可以看到中招电脑上进程模块比正常电脑多出14个

　　小提示

　　如果是系统正常的DLL文件，文件属性中都会有一个“版本”标签，公司名称为“Microsoft Corporation”，创建日期是“2001年9月5日，:13:00”，可根据这一特性来判断是否为木马文件。如本例的“rundll.dll”木马，创建日期“2004年11月13日, :11:59”，修改日期则是“2001年9月5日, :13:00”，也就是说还没创建文件时就被修改了，显然是非法文件!

　　④.删除木马

　　由于“winlogon.exe”是系统关键进程无法终止，所以也无法直接删除“rundll.dll”，这里使用系统权限设置来禁止“winlogon.exe”的调用。打开“我的电脑”，单击“工具→文件夹选项→查看”，然后在“高级设置”选项下去除“简单文件共享(推荐)”前的小勾;随后找到“rundll.dll”右击选择“属性”命令，点击“安全”标签，接着单击“高级”项，在弹出的窗口清除“从父项继承那些可以应用到子对象的权限项目，包括那些在此明确定义的项目”复选框，最后单击删除，去除所有继承的权限(如图5)，依次单击“确定”后退出，这样系统中就没有任何进程可以调用“rundll.dll”，重启后重新勾选“从父项继承那些可以应用到子对象的权限项目权限”，然后将其删除。

图5  去除所有继承的权限

　　小提示

　　上述权限操作仅对采用NTFS分区的系统有效，对于采用FAT32分区的系统，可以重启后进入纯DOS将木马文件删除。如果加载DLL木马的进程可以被终止，如嵌入“Explorer.exe”木马，只要将进程终止，然后找到文件将它删除即可。