防止黑客入侵:DLL后门完全清除方法

刘炜拽哦

后门!相信这个词语对您来说一定不会陌生，它的危害不然而欲，但随着人们的安全意识逐步增强，又加上杀毒软件的"大力支持"，使传统的后门无法在隐藏自己，任何稍微有点计算机知识的人，都知道"查端口""看进程"，以便发现一些"蛛丝马迹"。所以，后门的编写者及时调整了思路，把目光放到了动态链接程序库上，也就是说，把后门做成DLL文件，然后由某一个EXE做为载体，或者使用Rundll32.exe来启动，这样就不会有进程，不开端口等特点，也就实现了进程、端口的隐藏。本文以"DLL的原理""DLL的清除""DLL的防范"为主题，并展开论述，旨在能让大家对DLL后门"快速上手"，不在恐惧DLL后门。好了，进入我们的主题。
　　一、DLL的原理
　　动态链接程序库
　　动态链接程序库，全称:Dynamic Link Library，简称:DLL，作用在于为应用程序提供扩展功能。应用程序想要调用DLL文件，需要跟其进行"动态链接";从编程的角度，应用程序需要知道DLL文件导出的API函数方可调用。由此可见，DLL文件本身并不可以运行，需要应用程序调用。正因为DLL文件运行时必须插入到应用程序的内存模块当中，这就说明了:DLL文件无法删除。这是由于Windows内部机制造成的:正在运行的程序不能关闭。所以，DLL后门由此而生!
　　二、DLL的清除
　　本节以三款比较有名的DLL后门例，分别为"SvchostDLL.dll""BITS.dll""QoServer.dll"。详细讲解其手工清除方法。希望大家在看过这三款DLL后门的清除方法之后，能够举一反三，灵活运用，在不惧怕DLL后门。其实，手工清除DLL后门还是比较简单的，无非就是在注册表中做文章。具体怎么做，请看下文。
　　1，PortLess BackDoor
　　这是一款功能非常强大的DLL后门程序，除了可以获得Local System权限的Shell之外，还支持如"检测克隆帐户""安装终端服务"等一系列功能(具体可以参见程序帮助)，适用Windows2000/xp/2003等系统。程序使用svchost.exe来启动，平常不开端口，可以进行反向连接(最大的特点哦)，对于有防火墙的主机来说，这个功能在好不过了。
　　在介绍清除方法之前，我们先来简单的介绍一下svchost.exe这个系统的关键服务:
　　Svchost只是做为服务的宿主，本身并不实现什么功能，如果需要使用Svchost来启动服务，则某个服务是以DLL形式实现的，该DLL的载体Loader指向svchost，所以，在启动服务的时候由svchost调用该服务的DLL来实现启动的目的。使用svchost启动某个服务的DLL文件是由注册表中的参数来决定的，在需要启动服务的下边都有一个Parameters子键，其中的ServiceDll表明该服务由哪个DLL文件负责，并且这个DLL文件必须导出一个ServiceMain()函数，为处理服务任务提供支持。
　　看了上边的理论，是不是有点蒙，别着急，我们来看看具体的内容。HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRpcSs下的Parameters子键，其键值为%SystemRoot%system32rpcss.dll。这就说明:启动RpcSs服务时。Svchost调用WINNTsystem32目录下的rpcss.dll。
　　注册表的HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSvchost，里边存放着Svchost启动的组和组内的各个服务，其中netsvcs组的服务最多。要使用Svchost启动某个服务，则该服务名就会出现在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSvchost下。这里有四种方法来实现:
　　1， 添加一个新的组，在组里添加服务名
　　2， 在现有组里添加服务名
　　3， 直接使用现有组里的一个服务名，但是本机没有安装的服务
　　4， 修改现有组里的现有服务，把它的ServiceDll指向自己的DLL后门
　　本文测试的PortLess BackDoor使用的第三种方法。
　　好了，看完了上边的原理，一定可以想到我们清除PortLess BackDoor的方法了，对，就是在注册表的Svchost键下做文章。好，我们现在开始。
　　注:由于本文只是介绍清除方法，使用方法在此略过。
　　后门的Loader把SvchostDLL.dll插入Svchost进程当中，所以，我们先通过Windows进程管理工具，查看Svchost进程中的模块信息，SvchostDLL.dll已经插入到Svchost进程中了，在根据"直接使用现有组里的一个服务名，但是本机没有安装的服务"的提示，我们可以断定，在"管理工具"—"服务"中会有一项新的服务。此服务名称为:IPRIP，由Svchost启动，-k netsvcs表示此服务包含在netsvcs服务组中。
　　我们把该服务停掉，然后打开注册表编辑器(开始—运行--regedit)，来到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesIPRIP下，查看其Parameters子键。Program键的键值SvcHostDLL.exe为后门的Loader;ServiceDll的键值C:WINNTsystem32svchostdll.dll为调用的DLL文件，这正是后门的DLL文件。现在我们删除IPRIP子键(或者用SC来删除)，然后在来到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSvchost下，编辑netsvcs服务组，把49 00 70 00 72 00 69 00 70 00 00 00删除，这里对应的就是IPRIP的服务名。然后退出，重启。重启之后删除WINNTsystem32目录下的后门文件即可。
　　2，BITS.dll
　　这也是DLL后门，和SvchostDLL.dll原理基本一样，不过这里使用的是上边介绍的第四种方法，即"修改现有组里的现有服务，把它的ServiceDll指向自己的DLL后门"。换句话说，该后门修改现有的某一个服务，把其原有服务的DLL指向自己(也就是BITS.dll)，这样就达到了自动加载的目的;其次，该后门没有自己的Loader，而是使用系统自带的Rundll32.exe来加载。我们还是用Windows 进程管理工具来查看，我们可以看到bits.dll已经插入到Svchost进程当中。
　　好，现在我们来看看具体的清除方法，由于该后门是修改现有服务，而我们并不知道具体是修改了哪个服务，所以，在注册表中搜索bits.dll，最后在HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRasAuto下搜索到了bits.dll，查看Parameters子键下的ServiceDll，其键值为C:WINNTsystem32bits.dll。原来，该后门把RasAuto服务原来的DLL文件替换为bits.dll了，这样来实现自动加载。知道了原因就好办了，现在我们把ServiceDll的键值修改为RasAuto服务原有的DLL文件，即%SystemRoot%System32rasauto.dll，退出，重启。之后删除WINNTsystem32目录下的bits.dll即可。
　　3，NOIR--QUEEN
　　NOIR--QUEEN(守护者)是一个DLL后门&木马程序，服务端以DLL文件的形式插入到系统的Lsass.exe进程里，由于Lsass.exe是系统的关键进程，所以不能终止。在来介绍清除方法之前，先介绍一下Lsass.exe进程:
　　这是一个本地的安全授权服务，并且它会为使用Winlogon服务的授权用户生成一个进程，如果授权是成功的，Lsass就会产生用户的进入令牌，令牌使用启动初始的Shell。其他的由用户初始化的进程会继承这个令牌。
　　从上边的介绍我们就可以看出Lsass对系统的重要性，那具体怎么清除呢?请看下文。
　　后门在安装成功后，会在服务中添加一个名为QoSserver的服务，并把QoSserver.dll后门文件插入到Lsass进程当中，使其可以隐藏进程并自动启动。现在我们打开注册表，来到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesQoSserver，直接删除QoSserver键，然后重启。重启之后，我们在来到服务列表中，会看到QoSserver服务还在，但没有启动，类别是自动，我们把他修改为"已禁用";然后往上看，会发现一个服务名为AppCPI的服务，其可执行程序指向QoSserver.exe(原因后边我会说到)。我们再次打开注册表，来到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesAppCPI，删除AppCPI键，重启，再删除QoSserver，最后删除WINNTsystem32目录下的后门文件。
　　和这个后门"搏斗"了3个多小时，重启N次。原因在于即使删除了QoSserver服务，后门还是在运行，而且服务列表中的QoSserver服务又"死灰复燃"。后来才知道原因:我删除了QoSserver服务并重启之后，插入到Lsass进程当中的QoSserver.dll文件又恢复了QoSserver服务，并且生成了另外一个服务，即AppCPI，所以我们必须在到注册表中删除AppCPI服务才算是把该后门清除。由此可以看出，现在的后门的保护措施，真是一环扣环。
　　注意:在删除QoSserver服务并重启之后，恢复的QoSserver的启动类别要修改为"已禁用"，否则即便删除了AppCPI服务，QoSserver服务又运行了。
　　三、DLL的防范
　　看了上边的例子，大家对清除DLL后门的方法有了一定的了解，但在现实中，DLL后门并不会使用默认的文件名，所以你也就不能肯定是否中了DLL后门。对于DLL后门，system32目录下是个好地方，大多数后门也是如此，所以这里要非常注意。下面来具体介绍一下怎么发现DLL后门，希望对大家有所帮助。
　　1，安装好系统和所有的应用程序之后，备份system32目录下的EXE和DLL文件:打开CMD，来到WINNTsystem32目录下，执行:dir *.exe>exe.txt & dir *.dll>dll.txt，这样，就会把所有的EXE和DLL文件备份到exe.txt和dll.txt文件中;日后，如发现异常，可以使用相同的命令再次备份EXE和DLL文件(这里我们假设是exe0.txt和dll0.txt)，并使用:fc exe.txt exe0.txt>exedll.txt & fc dll.txt dll0.txt>exedll.txt，其意思为使用FC命令比较两次的EXE文件和DLL文件，并将比较结果保存到exedll.txt文件中。通过这种方法，我们就可以发现多出来的EXE和DLL文件，并通过文件大小，创建时间来判断是否是DLL后门。
　　2，使用内存/模块工具来查看进程调用的DLL文件。这样，可以发现进程到底调用了什么DLL文件，在结合上边用FC命令比较出来的结果，又能进一步来确定是否中了DLL后门。
　　3，普通后门连接需要打开特定的端口，DLL后门也不例外，不管它怎么隐藏，连接的时候都需要打开端口。我们可以用netstat -an来查看所有TCP/UDP端口的连接，以发现非法连接。大家平时要对自己打开的端口心中有数，并对netstat -an中的state属性有所了解。当然，也可以使用Fport来显示端口对应的进程，这样，系统有什么不明的连接和端口，都可以尽收眼底。
　　4，定期检查系统自动加载的地方，比如:注册表，Winstart.bat，Autoexec.bat，win.ini，system.ini，wininit.ini，Autorun.inf，Config.sys等。其次是对服务进行管理，对系统默认的服务要有所了解，在发现有问题的服务时，可以使用Windows 2000 Server Resource Kit中的SC来删除。以上这些地方都可以用来加载DLL后门的Loader，如果我们把DLL后门Loader删除了，试问?DLL后门还怎么运行?!
　　通过使用上边的方法，大多数DLL后门都可以"现形"，如果我们平时多做一些备份，那对查找DLL后门会启到事半功倍的效果。