gtxyzz

dll,exe病毒程序是怎么运行的?

gtxyzz 安全防护 2023-01-03 424浏览 0

一、dll型木马

[原理]

dll文件也叫动态链接程序库。当exe程序运行时,会同时调用很多dll文件来实现扩展功能。此时如果木马对dll映像实施劫持,对系统文件或其他程序进行恶意的注入,就可以达到窃取机密文件、篡改系统关键位置、隐藏自身等目的。因此dll木马可以称作注入型木马,也可以叫映像劫持木马。

[特点]

可以将任何一种病毒做成dll型,著名的极光病毒就是一个集成性质的蠕虫。具有极高的免杀性,隐蔽能力强。反杀毒软件的效率较高。再生能力强,一般情况下重装系统无法清除。除常规感染外,还可以注入到rar等其他文件中。

[各种常见加载方式]

1.利用系统中的rundll32.exe加载。这是指将木马只做成一个DLL文件,在注册表Run键值或其他可以被系统自动加载的地方,使用Rundll32.exe来自动启动。

2.替换系统中的DLL文件。它把实现了后门功能的代码做成一个和系统匹配的DLL文件,并把原来的DLL文件改名。遇到应用程序请求原来的DLL文件时,DLL后门就启一个转发的作用,把"参数"传递给原来的DLL文件;如果遇到特殊的请求时,DLL后门就开始启动并运行。

3.dll注入技术,即嵌入式。其意义是将DLL文件嵌入到正在运行的系统进程当中。在Windows系统中,每个进程都有自己的私有内存空间,但还是有种种方法来进入其进程的私有内存空间,来实现动态嵌入式。由于系统的关键进程是不能终止的,所以这类后门非常隐蔽,查杀也非常困难。常见的动态嵌入式有:"挂接API""全局钩子(HOOK)""远程线程"等。

[著名dll后门木马]

lpk.dll/usp10.dll

SvchostDLL.dll

BITS.dll

QoServer.dll

二、exe类可直接执行木马病毒

[原理]

这个不能笼统地说什么原理。任何一款木马病毒都可以做成exe型,不同的exe木马原理不同,功能也不同。

[特点]

直接以exe文件出现。常常会进行加壳加花等免杀处理,以及外观伪装。常常与各种正常软件捆绑在一起,或者伪装成正常的软件。运行后不会有任何迹象,除非被杀软发现。如果免杀不当,容易被主动防御截获。由于是可执行文件,隐蔽能力不强。一般情况下,exe型木马主要用来盗号或作为间谍软件,也有可能充当下载者。其实dll病毒充当下载者,再下载exe木马,是一种常见搭配。

[各种常见运行方式]

这个真的不好说。exe只是一种形式。毕竟不同木马原理不同,.exe不能用来分类木马。当然,常用的是,可以挂钩到常见软件来激活运行,也可以加载到注册表。除此之外,欺骗用户人为点击是目前最常用的方法。

[著名exe木马]

灰鸽子类型远控木马

wow各种盗号程序

winlogon.exe

iexplore.exe

Explorer.exe

继续浏览有关 安全 的文章
发表评论