一、dll型木马
[原理]
dll文件也叫动态链接程序库。当exe程序运行时,会同时调用很多dll文件来实现扩展功能。此时如果木马对dll映像实施劫持,对系统文件或其他程序进行恶意的注入,就可以达到窃取机密文件、篡改系统关键位置、隐藏自身等目的。因此dll木马可以称作注入型木马,也可以叫映像劫持木马。
[特点]
可以将任何一种病毒做成dll型,著名的极光病毒就是一个集成性质的蠕虫。具有极高的免杀性,隐蔽能力强。反杀毒软件的效率较高。再生能力强,一般情况下重装系统无法清除。除常规感染外,还可以注入到rar等其他文件中。
[各种常见加载方式]
1.利用系统中的rundll32.exe加载。这是指将木马只做成一个DLL文件,在注册表Run键值或其他可以被系统自动加载的地方,使用Rundll32.exe来自动启动。
2.替换系统中的DLL文件。它把实现了后门功能的代码做成一个和系统匹配的DLL文件,并把原来的DLL文件改名。遇到应用程序请求原来的DLL文件时,DLL后门就启一个转发的作用,把"参数"传递给原来的DLL文件;如果遇到特殊的请求时,DLL后门就开始启动并运行。
3.dll注入技术,即嵌入式。其意义是将DLL文件嵌入到正在运行的系统进程当中。在Windows系统中,每个进程都有自己的私有内存空间,但还是有种种方法来进入其进程的私有内存空间,来实现动态嵌入式。由于系统的关键进程是不能终止的,所以这类后门非常隐蔽,查杀也非常困难。常见的动态嵌入式有:"挂接API""全局钩子(HOOK)""远程线程"等。
[著名dll后门木马]
lpk.dll/usp10.dll
SvchostDLL.dll
BITS.dll
QoServer.dll
二、exe类可直接执行木马病毒
[原理]
这个不能笼统地说什么原理。任何一款木马病毒都可以做成exe型,不同的exe木马原理不同,功能也不同。
[特点]
直接以exe文件出现。常常会进行加壳加花等免杀处理,以及外观伪装。常常与各种正常软件捆绑在一起,或者伪装成正常的软件。运行后不会有任何迹象,除非被杀软发现。如果免杀不当,容易被主动防御截获。由于是可执行文件,隐蔽能力不强。一般情况下,exe型木马主要用来盗号或作为间谍软件,也有可能充当下载者。其实dll病毒充当下载者,再下载exe木马,是一种常见搭配。
[各种常见运行方式]
这个真的不好说。exe只是一种形式。毕竟不同木马原理不同,.exe不能用来分类木马。当然,常用的是,可以挂钩到常见软件来激活运行,也可以加载到注册表。除此之外,欺骗用户人为点击是目前最常用的方法。
[著名exe木马]
灰鸽子类型远控木马
wow各种盗号程序
winlogon.exe
iexplore.exe
Explorer.exe
【编辑推荐】
