国产一级a片免费看高清,亚洲熟女中文字幕在线视频,黄三级高清在线播放,免费黄色视频在线看

打開APP
userphoto
未登錄

開通VIP,暢享免費(fèi)電子書等14項(xiàng)超值服

開通VIP
[征文]線程插入技術(shù)-殘星解剖DLL木馬
最近比較關(guān)注一些流行木馬,覺得有必要深入研究一下線程病毒,于是就花了兩天時(shí)間來學(xué)習(xí),有了些心得,寫出來和大家交流一下.........我可憐的處女貼 

一.名詞解釋 

1>.線程插入技術(shù)就是把病毒代碼內(nèi)嵌到正常進(jìn)程中,并不獨(dú)立建立進(jìn)程,這樣能夠較好的因長河保護(hù)自己,屬于比較高的境界.因?yàn)橐话銇碇v系統(tǒng)每個(gè)進(jìn)程都有自己的獨(dú)立內(nèi)存空間,別的進(jìn)程是無法對其實(shí)現(xiàn)寫入操作的,但是那些高手總是可以得逞,比如利用一個(gè)遠(yuǎn)程線程進(jìn)入遠(yuǎn)程進(jìn)程的私有內(nèi)存,從而輕易躲過愚昧的殺毒軟件查殺,而且有的進(jìn)程是被允許訪問網(wǎng)絡(luò)的,所以依然能夠輕易通過同樣愚昧的防火墻的攔截,對于這點(diǎn)殘星發(fā)自內(nèi)心的佩服! 

2>.DLL文件,兩線中間的內(nèi)容來自百度百科 
---------------------------------------------------------- 
DLL文件即動(dòng)態(tài)鏈接庫文件,是一種可執(zhí)行文件,它允許程序共享執(zhí)行特殊任務(wù)所必需的代碼和其他資源。Windows提供的DLL文件中包含了允許基于Windows的程序在Windows環(huán)境下操作的許多函數(shù)和資源。 

DLL多數(shù)情況下是帶有DLL擴(kuò)展名的文件,但也可能是EXE或其他擴(kuò)展名。它們向運(yùn)行于Windows操作系統(tǒng)下的程序提供代碼、數(shù)據(jù)或函數(shù)。程序可根據(jù)DLL文件中的指令打開、啟用、查詢、禁用和關(guān)閉驅(qū)動(dòng)程序。 

DLL是Dynamic Link Library的縮寫,意為動(dòng)態(tài)鏈接庫。在Windows中,許多應(yīng)用程序并不是一個(gè)完整的可執(zhí)行文件,它們被分割成一些相對獨(dú)立的動(dòng)態(tài)鏈接庫,即DLL文件,放置于系統(tǒng)中。當(dāng)我們執(zhí)行某一個(gè)程序時(shí),相應(yīng)的DLL文件就會(huì)被調(diào)用。一個(gè)應(yīng)用程序可有多個(gè)DLL文件,一個(gè)DLL文件也可能被幾個(gè)應(yīng)用程序所共用,這樣的 DLL文件被稱為共享DLL文件。DLL文件一般被存放在C:\Windows\System目錄下 

動(dòng)態(tài)鏈接庫DLL(Dynamic Link Library)是一個(gè)可以被其它應(yīng)用程序共享的程序模塊,其中封裝了一些可以被共享的例程和資源。動(dòng)態(tài)鏈接庫文件的擴(kuò)展名一般是dll,它和可執(zhí)行文件(exe)非常類似,區(qū)別在于DLL中雖然包含了可執(zhí)行代碼卻不能單獨(dú)執(zhí)行,而應(yīng)由Windows應(yīng)用程序直接或間接調(diào)用。 

動(dòng)態(tài)鏈接庫—優(yōu)點(diǎn) 
1. 共享代碼、資源和數(shù)據(jù) 
 使用DLL的主要目的就是為了共享代碼,DLL的代碼可以被所有的Windows應(yīng)用程序共享。 
2. 隱藏實(shí)現(xiàn)的細(xì)節(jié) 
 DLL中的方法可以被應(yīng)用程序訪問,而應(yīng)用程序并不知道這些方法的細(xì)節(jié)。 
3. 拓展開發(fā)工具的功能 
 由于DLL是與語言無關(guān)的,因此可以創(chuàng)建一個(gè)DLL,被C++、VB或任何支持動(dòng)態(tài)鏈接庫的語言調(diào)用。這樣如果一種語言存在不足,就可以通過訪問另一種語言創(chuàng)建的DLL來彌補(bǔ)。 
---------------------------------------------------------------- 

3>.Loader.記得前兩天有人在吧里問用什么打開.DLL文件,答案是.EXE可執(zhí)行程序,這個(gè)EXE就是傳說中的Loader.因?yàn)閹煳募荒塥?dú)立運(yùn)行,需要一個(gè).EXE文件來勾引它,讓被插入的進(jìn)程調(diào)用這個(gè)庫文件的主函數(shù),從而運(yùn)行木馬,然后病毒就發(fā)作了,嘿嘿.......... 

二.系統(tǒng)中部分DLL文件的功能 

1>.Browselc.dll IE所需要調(diào)用的庫文件DLL結(jié)構(gòu)雛形 

2>.Cryptui.dll IE控件下載及提示對話框程序 

3>.Shdoclc.dll 系統(tǒng)窗口及設(shè)置等,(如刪除文件、重命名) 

其他的請恕殘星太菜,不知道了........... 

三.基本預(yù)防和查殺DLL木馬的方法和建議 

1>.首先當(dāng)然還是要利用殺軟和防火墻了,但是也不能過分依賴,比如誤報(bào)之王-卡巴............ 

2>.經(jīng)常檢查啟動(dòng)項(xiàng),那里是病毒只喜歡也是最容易暴露的地方,留心檢查有沒有多余的可疑項(xiàng)目.其實(shí)一般來講啟動(dòng)項(xiàng)里留下ctfmon就夠了,還可以加入殺軟和防火墻,看你需要了........... 
 
3>.中了之后也不要害怕,殺軟搞不定-刪不掉的話可以手動(dòng)刪除文件,掃描到可疑文件的話做好記錄,然后徹底清理,包括注冊表.........想知道DLL文件被幾個(gè)程序使用么?哈哈,看這里-----注冊表:HKEY_LOCAL_MACHINE\Software\Microsrft\Windows\CurrentVersion\SharedDlls子鍵,右邊窗口記錄了所有庫文件及其相關(guān)數(shù)據(jù),數(shù)據(jù)右邊的小括號(hào)內(nèi)的素質(zhì)就說明了被幾個(gè)程序使用,(0)則表示無程序使用,可以放心大膽的刪除,這應(yīng)該就是優(yōu)化大師分析冗余的DLL文件的原理吧,呵呵...... 

3>.如果被注入了系統(tǒng)關(guān)鍵進(jìn)程,殘星推薦我的最愛-冰刃!用它對相應(yīng)的dll強(qiáng)制解除,一切OK! 

四.相關(guān)問題解決 

1>.開機(jī)提示DLL文件丟失 

這可能是正常卸載軟件殘留問題,比如誤刪了共享的庫文件..........也有可能是病毒被查殺后,當(dāng)時(shí)被替換的系統(tǒng)庫文件丟失造成的.我們可以從其他機(jī)器上復(fù)制此文件到system32下,或者進(jìn)注冊表搜索該木馬的殘留項(xiàng)刪除就好了(這就是<三>中提到的清理注冊表)還可以運(yùn)行-msconfig-SYSTEMINI下把相關(guān)DLL加載去掉........ 

2>.關(guān)機(jī)時(shí)間過長 

這很可能是因?yàn)橄到y(tǒng)調(diào)用的DLL文件太多了,導(dǎo)致關(guān)機(jī)慢死,其實(shí)只需要把一些無關(guān)痛癢的庫文件刪除就好了^_^ 

五.殘星告白 

我的名言--殺毒在于防毒,防毒在于意識(shí)!不要過分的依賴殺毒軟件,那只是工具而已.................
本站僅提供存儲(chǔ)服務(wù),所有內(nèi)容均由用戶發(fā)布,如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容,請點(diǎn)擊舉報(bào)。
打開APP,閱讀全文并永久保存 查看更多類似文章
猜你喜歡
類似文章
木馬各種隱藏技術(shù)披露
WINDOWS系統(tǒng)下木馬程序的設(shè)計(jì)與實(shí)現(xiàn)
從流氓軟件說說DLL動(dòng)態(tài)插入技術(shù)與Rootkit技術(shù)
冰刃 使用問題集錦
深入淺出Windows的DLL文件
首殺木馬
更多類似文章 >>
生活服務(wù)
分享 收藏 導(dǎo)長圖 關(guān)注 下載文章
綁定賬號(hào)成功
后續(xù)可登錄賬號(hào)暢享VIP特權(quán)!
如果VIP功能使用有故障,
可點(diǎn)擊這里聯(lián)系客服!

聯(lián)系客服