dll,exe病毒程序是怎么运行的?

安全 黑客攻防
dll文件也叫动态链接程序库,当exe程序运行时,会同时调用很多dll文件来实现扩展功能,下面我们给大家来介绍一下dll,exe病毒程序是怎么运行的?

一、dll型木马

[原理]

dll文件也叫动态链接程序库。当exe程序运行时,会同时调用很多dll文件来实现扩展功能。此时如果木马对dll映像实施劫持,对系统文件或其他程序进行恶意的注入,就可以达到窃取机密文件、篡改系统关键位置、隐藏自身等目的。因此dll木马可以称作注入型木马,也可以叫映像劫持木马。

[特点]

可以将任何一种病毒做成dll型,著名的极光病毒就是一个集成性质的蠕虫。具有极高的免杀性,隐蔽能力强。反杀毒软件的效率较高。再生能力强,一般情况下重装系统无法清除。除常规感染外,还可以注入到rar等其他文件中。

[各种常见加载方式]

1.利用系统中的rundll32.exe加载。这是指将木马只做成一个DLL文件,在注册表Run键值或其他可以被系统自动加载的地方,使用Rundll32.exe来自动启动。

2.替换系统中的DLL文件。它把实现了后门功能的代码做成一个和系统匹配的DLL文件,并把原来的DLL文件改名。遇到应用程序请求原来的DLL文件时,DLL后门就启一个转发的作用,把"参数"传递给原来的DLL文件;如果遇到特殊的请求时,DLL后门就开始启动并运行。

3.dll注入技术,即嵌入式。其意义是将DLL文件嵌入到正在运行的系统进程当中。在Windows系统中,每个进程都有自己的私有内存空间,但还是有种种方法来进入其进程的私有内存空间,来实现动态嵌入式。由于系统的关键进程是不能终止的,所以这类后门非常隐蔽,查杀也非常困难。常见的动态嵌入式有:"挂接API""全局钩子(HOOK)""远程线程"等。

[著名dll后门木马]

lpk.dll/usp10.dll

SvchostDLL.dll

BITS.dll

QoServer.dll

二、exe类可直接执行木马病毒

[原理]

这个不能笼统地说什么原理。任何一款木马病毒都可以做成exe型,不同的exe木马原理不同,功能也不同。

[特点]

直接以exe文件出现。常常会进行加壳加花等免杀处理,以及外观伪装。常常与各种正常软件捆绑在一起,或者伪装成正常的软件。运行后不会有任何迹象,除非被杀软发现。如果免杀不当,容易被主动防御截获。由于是可执行文件,隐蔽能力不强。一般情况下,exe型木马主要用来盗号或作为间谍软件,也有可能充当下载者。其实dll病毒充当下载者,再下载exe木马,是一种常见搭配。

[各种常见运行方式]

这个真的不好说。exe只是一种形式。毕竟不同木马原理不同,.exe不能用来分类木马。当然,常用的是,可以挂钩到常见软件来激活运行,也可以加载到注册表。除此之外,欺骗用户人为点击是目前最常用的方法。

[著名exe木马]

灰鸽子类型远控木马

wow各种盗号程序

winlogon.exe

iexplore.exe

Explorer.exe
 

【编辑推荐】

  1. DDL“隐私大盗”木马专偷安卓短信、Gmail等隐私
  2. 只需一招 手无寸铁轻易清除“dll后门木马”
  3. 谨防沦为DLL后门木马及其变种的肉鸡
  4. 后门木马隐藏技术分析
责任编辑:于爽 来源: 免费杀毒软件
相关推荐

2021-03-15 08:33:01

CC++动态库

2021-02-27 21:45:22

程序代码函数

2020-02-18 11:19:36

物联网病毒物联网IOT

2010-10-09 16:12:37

2010-09-10 18:31:32

sxs.exe病毒

2010-10-09 16:27:10

2022-03-15 13:09:05

JavaScript编程语言代码

2009-02-16 18:48:26

2020-03-16 08:22:11

Java程序员虚拟机

2024-08-30 08:30:29

CPU操作系统寄存器

2013-01-21 17:13:39

2013-08-26 11:09:27

2010-09-30 14:48:09

SMSS.EXE木马

2014-06-03 17:34:32

2010-03-26 13:52:29

Python生成

2021-11-17 22:16:01

Windows 17Windows微软

2011-03-30 09:03:33

2009-08-23 09:38:14

2010-10-09 16:39:48

2021-02-19 08:11:39

Flink Function接口
点赞
收藏

51CTO技术栈公众号