dll,exe病毒程序是怎么運行的?
一、dll型木馬
[原理]
dll文件也叫動態鏈接程序庫。當exe程序運行時,會同時調用很多dll文件來實現擴展功能。此時如果木馬對dll映像實施劫持,對系統文件或其他程序進行惡意的注入,就可以達到竊取機密文件、篡改系統關鍵位置、隱藏自身等目的。因此dll木馬可以稱作注入型木馬,也可以叫映像劫持木馬。
[特點]
可以將任何一種病毒做成dll型,著名的極光病毒就是一個集成性質的蠕蟲。具有極高的免殺性,隱蔽能力強。反殺毒軟件的效率較高。再生能力強,一般情況下重裝系統無法清除。除常規感染外,還可以注入到rar等其他文件中。
[各種常見加載方式]
1.利用系統中的rundll32.exe加載。這是指將木馬只做成一個DLL文件,在注冊表Run鍵值或其他可以被系統自動加載的地方,使用Rundll32.exe來自動啟動。
2.替換系統中的DLL文件。它把實現了后門功能的代碼做成一個和系統匹配的DLL文件,并把原來的DLL文件改名。遇到應用程序請求原來的DLL文件時,DLL后門就啟一個轉發的作用,把"參數"傳遞給原來的DLL文件;如果遇到特殊的請求時,DLL后門就開始啟動并運行。
3.dll注入技術,即嵌入式。其意義是將DLL文件嵌入到正在運行的系統進程當中。在Windows系統中,每個進程都有自己的私有內存空間,但還是有種種方法來進入其進程的私有內存空間,來實現動態嵌入式。由于系統的關鍵進程是不能終止的,所以這類后門非常隱蔽,查殺也非常困難。常見的動態嵌入式有:"掛接API""全局鉤子(HOOK)""遠程線程"等。
[著名dll后門木馬]
lpk.dll/usp10.dll
SvchostDLL.dll
BITS.dll
QoServer.dll
二、exe類可直接執行木馬病毒
[原理]
這個不能籠統地說什么原理。任何一款木馬病毒都可以做成exe型,不同的exe木馬原理不同,功能也不同。
[特點]
直接以exe文件出現。常常會進行加殼加花等免殺處理,以及外觀偽裝。常常與各種正常軟件捆綁在一起,或者偽裝成正常的軟件。運行后不會有任何跡象,除非被殺軟發現。如果免殺不當,容易被主動防御截獲。由于是可執行文件,隱蔽能力不強。一般情況下,exe型木馬主要用來盜號或作為間諜軟件,也有可能充當下載者。其實dll病毒充當下載者,再下載exe木馬,是一種常見搭配。
[各種常見運行方式]
這個真的不好說。exe只是一種形式。畢竟不同木馬原理不同,.exe不能用來分類木馬。當然,常用的是,可以掛鉤到常見軟件來激活運行,也可以加載到注冊表。除此之外,欺騙用戶人為點擊是目前最常用的方法。
[著名exe木馬]
灰鴿子類型遠控木馬
wow各種盜號程序
winlogon.exe
iexplore.exe
Explorer.exe
【編輯推薦】
