用Excel剿滅DLL木馬

查看: 1292 | 回覆: 4 | 電梯直達

王爵 | 2009-11-17 16:31:58

1樓

DLL木馬是依靠DLL檔案來作惡的，木馬執行時不會在執行程式列表出現新的執行程式，而且很多DLL木馬還插入到系統關鍵執行程式中(無法終止)，即使能被殺毒軟件檢測出來也無法查殺，這給系統安全帶來極大的威脅。如果你的手頭沒有木馬清除器，我們也可以用Excel 試一下解決。下面就看看我們是如何用Excel對付這種插入lsass.exe執行程式的木馬吧!

第一步：查找被感染的執行程式

近日開機上網一段時間後就覺得網速特別的慢，於是便執行“netstat -a -n -o”檢視開放的端口和連接，其中執行程式PID為580發起的連接極為可疑
：狀態為ESTABLISHED，表示兩台機器正在通信(見圖1)。通過任務管理器可以知道這個執行程式為lsass.exe，根據執行程式的解釋，lsass.exe是

用於微軟Windows系統的安全機制，它用於本地安全和登陸策略，顯然這個執行程式是不需要開放端口和外部連接的，據此判斷該執行程式極可能插

入DLL木馬。如果牧馬者當前沒有進行連接，還可以通過端口狀態判斷是否中招，如TIME_WAIT的意思是結束了這次連接，說明端口曾經有過訪問，

但訪問結束了，表明已經有黑客入侵過本機。 LISTENING表示處於偵聽狀態，等待連接，但還沒有被連接，不過只有TCP協議的服務端口才能處於

LISTENING狀態。

小提示：判斷是否中招的前提是要找出被感染的執行程式，按被插入執行程式的類別分，DLL木馬大致可以分為:

1.插入常用執行程式，如Notepad.exe、Iexplorer.exe(此類木馬的判斷很簡單，開機後不啟動任何程序，打開任務管理器如果發現上述執行程式，那

就可以判斷中招了)。

2.插入系統執行程式，如Explorer.exe、lsass.exe(由於每台電腦開機後都有上述的執行程式，具體可以通過檢視端口和執行程式本身特性加以判斷

，比如本機的lsass.exe、winlogon.exe、explorer.exe就不會開放端口連接)。

3.對於插入本身就開放端口執行程式如alg.exe、svchost.exe，需要通過連接狀況、連接IP、調用DLL綜合加以判斷。

第二步：追查木馬真凶

知道被插入DLL木馬的執行程式，我們就可以通過比較執行程式調用的DLL模塊來甑別。
1.到其它正常電腦上啟動命令提示符執行“tasklist /m /fo list >G:\dll1.txt”，將當前執行程式加載所有DLL檔案以列表形式輸出，然後打開dll.txt並

複製lsass.exe加載的DLL檔案列表

2..打開Excel，將正常電腦和中招電腦lsass.exe加載的DLL檔案複製到A、B列，由於Excel有序號，通過序號就可以輕易發現兩個lsass.exe加載的

DLL檔案數量不同(64和68)。現在將B列字體設定為紅色，剪切B列內容並粘貼到A列，單擊Excel的“數據/排序”，將數據重新排序後，木馬檔案就在連

續紅色但和上格不相同的DLL檔案中，分別是mswsock.dll、PSAPI.DLL、 wshtcpip.dll、share.dll

小提示：

如果無法確定哪個執行程式被插入木馬，可以先輸出所有DLL檔案，然後在Excel中排序和正常狀態DLL檔案比較，依次找出新增的DLL檔案一一排查。

第三步：刪除木馬檔案

從上可以知道DLL木馬就在上述多出的4個檔案中，現在通過搜索功能找到這些檔案(DLL檔案大多在系統目錄，搜索範圍可限制在此)，並通過檢視屬
性最終找到真凶為c:\windows\system32\share.dll。現在進入安全模式將share.dll刪除，然後根據它的創建時間、大小找到木馬的同夥並刪除

。一般微軟系統DLL檔案都有版本標簽，而且檔案日期大多是一樣的，可以通過這些屬性判斷。

小提示：對於插入notepad、IE、explorer.exe等執行程式的dll木馬，可以將執行程式終止後直接刪除dll木馬。

第四步：做好備份，防患於未然

相對來說，本例被插入木馬的系統執行程式比較容易判斷，但是對插入系統本身就開放端口的執行程式如svchost.exe，判斷起來就比較困難。因此

我們平時要用Tasklist命令做好常見系統執行程式DLL檔案備份，這樣就可以在懷疑自己中招時，重啟並關閉任何無關程序，然後通過Excel排序快速

找到木馬真凶!