软件/系统问答

文件数字签名问题Q在查找DLL动态嵌入式木马时,可以根据文件属性中的相关信息来判断文件是不是木马。最近我看到有一种名为“EXE伪装器”的工具,它可以把系统文件的属性完整地复制到木马文件上,在这种情况下,微软的数字签名工具是否能够把正常的系统文件和木马文件识别出来?     

DLL注入木马

在上面的文章中,提到了目前网络上十分流行的木马形式:D LL木马,究竟什么是D LL木马?后缀名为.DLL的文件是Windows中的库链接文件,是Windows系统中许多驱动和程序运行时必需的文件。DLL文件与EXE文件不同,是不能直接运行的,必须通过其它程序运行加载来实现一定的功能。所谓的DL     

暗渡陈仓的DLL木马

提到木马,想必大家是再熟悉不过了。但是要说到DLL木马,可能还有很多朋友不甚了解。DLL木马到底是什么,它有何种功能,对我们的系统会造成何种危害,如何防范它?本文将为你揭开谜底。     

木马免杀为什么会失败

以前介绍过很多免杀的方法,使用这些方法对上兴之类的木马加密加壳后,可以顺利突破国内常见的杀毒软件查杀。但是也有的同学发现,有一些特殊的木马并不是单文件的,在进行加密加壳后,生成的木马客户端主程序文件是不会被杀了,但木马运行时会释放出相应的DLL文件或其它资源文件,会被杀毒软件查杀,从而导致木马无法正常工作。这篇文章就教大家应对这种情况,让所有木马释放的文件也彻底免杀!     

动态嵌入式DLL木马简便发现与清除方法

首先．我们来了解一下什么是动态嵌入式木马，为了在NT系统下能够继续隐藏进程，木马的开发者们开始利用DLL（Dynamic Link Library动态链接库）文件．起初他们只是将自己的木马写成DLL形式来替换系统中负责Win Socket1．x的函数调用wsock32．dlt（Win Socket2中则由WS2_32．DLL负责），这样通过对约定函数的操作和对未知函数的转发（DLL木马替换wsock32．dlt时会将之更名，     

DLL文件 有什么好神秘的

在使用电脑的时候,当看到诸如"DLL文件损坏"、"程序找不到相应的DLL文件"及"DLL无法初始化"的提示出现时,系统和程序就无法启动了。很多朋友常常不知所措。那这该死的DLL文件是什么?它与我们熟知的系统和程序又有着怎样千丝万缕的关系呢?在遇到DLL文件引起的故障时,我们该如何解决?带着这些疑问,随着本文一步步走入它的神秘殿堂吧。     

基于模拟加载法的DLL木马检测模型设计*

针对DLL木马不能直接运行的特性和高隐蔽性带来的检测难度,设计了一个基于模拟加载技术的DLL木马检测模型,并基于该模型实现了一个DLL木马检测系统。介绍了检测系统的总体结构图,阐述了检测系统的模块架构,给出了特征信息库的建立流程,详细分析了检测系统的关键技术。实验结果表明,基于模拟加载法的DLL木马检测系统能够快速判定被检测文件的危险等级,可以有效降低漏报率。     

动态链接库简介

如果你安装了WIN95,你一定能在\WIN95\System目录中找到四、五百个共约50MB的DLL文件。虽然WIN95能识别这种文件格式(自动配上合适的图标),但却不能查看它们,而且几乎每一个WIN95程序在安装时都会或多或少地再加上一些DLL文件。那么这些DLL文件有什么用途呢?     

系统中的动态精灵 DLL文件从入门到精通

第一篇:什么是D L L文件?DLL是DynamicLinkLibrary(动态链接库)的缩写,它本身并不是一个程序,而是由多个功能函数构成的。所谓“动态”,简单地讲,就是只有在程序需要调用时才会加载DLL文件中的内容,而不用随EXE文件一起驻留在内存,减少了系统资源占用。微软网站上对于D L L文件的介绍:http://support.microsoft.com/?scid=kb;zh-cn;815065。系统中有那么多DLL文件,怎么知道某个文件是做什么用的呢?打开网址http://support.microsoft.com/dllhelp/,进入微软网站的DLL帮助页面,在这里可以查询系统中DLL文件的相关信息。第二篇:关于…     

两种方法删除感染病毒的顽固DLL文件

DLL文件是Windows系统中一种比较特殊的二进制文件,不少病毒、木马生成的DLL文件具有无进程、不可删除、启动方式多样、隐蔽性高等特点。很多时候我们是通过杀毒软件的提示知道某个DLL文件感染了病毒,但不论是在杀毒软件中选择删除该文件还是手工删除该文件都始终提示出错。我们之所以无法删除可恶的DLL文件,是因为它依附到了其他进程之中,而这些进程的存在也使     

用显微镜轻松揪出木马病毒

木马无处不在,如何分辨从网上下载的文件是否被恶意挂马?如何分辨系统文件是否被木马所修改或替换?如果我们为每一个清白文件加上标记,一旦它被木马"玷污",就可以轻松地揪出企图蒙混过关的木马!     

另类招法Excel剿灭DLL木马

DLL木马是依靠DLL文件来作恶的,木马运行时不会在进程列表出现新的进程,而且很多DLL木马还插入到系统关键进程中(无法终止),即使能被杀毒软件检测出来也无法查杀,这给系统安全带来极大的威胁。如果你的手头没有趁手的杀马兵器,抄起办公的Excel我们也可以肉搏一番。下面就看看我们是如何用Excel对付这种插入lsass.exe进程的木马吧!STEP1查找被感染的进程近日开机上网一段时间后就觉得网速特别的慢,于是便运行“netstat-a-n-o”查看开放的端口和连接,其中进程PID为580发起的连接极为可疑:状态为ESTABLISHED,表示两台机器正在通信(…     

彻底明晰文件关联型木马的特殊化查杀

一、什么是并联方式令人费解的是,自己明明已经删除了木马文件和相应的启动项,却为什么不能恢复正常呢?不少用户都很疑惑,难道删除的木马竟然恶意修改了操作系统核心吗?要想解开这些疑惑,我们就不得不从什么是文件的"并联方式"说起,因为这种木马修改了应用程     

用显微镜轻松揪出木马病毒

木马无处不在,如何分辨从网上下载的文件是否被恶意挂马?如何分辨系统文件是否被木马所修改或替换?如果我们为每一个清白文件加上标记,一旦它被木马“玷污”,就可以轻松地揪出企图蒙混过关的木马!     

征服“动感地带”——DLL文件的八大秘密

DLL是Dynamic Link Library(动态链接库)的缩写,它到底是什么东西呢?在当初设计Windows时,为了节省代码和系统空间,微软应用了共享资源的DLL文件,它本身并不是一个程序,而是由多个功能函数构成的。打个形象的比喻,DLL文件就像仓库中可用于多个方面的常用材料,如果别人(程序员)想为你组装一个工具(程序),那么只要提供给你仓库中没有的工具和材料(软件安装程序中的文件)就行了,其他常用材料(DLL文件)可以直接从仓库中拿来一用。在工具不用时,为了节省空间和资源,可以将其拆解,其中常用材料(DLL文件)仍然会被收回仓库。 我们也可以把DLL文件理解为另外一种形式的EXE文件,只不     

迈克菲（McAfee）网络安全新战略

卡巴斯基实验室近期发现有一种名为“DLL后门木马”的恶意软件活动比较频繁。该木马采用Delphi语言编写,未加壳,但其具有伪造的数字签名。而且其变种竟然高达390多种。此木马主要通过网页挂马等方式感染用户计算机。危害性比较大。一旦感染,它会释放一个名称随机的DLL文件到用户计算机的系统目录,以服务的方式将其加载运行,同时创建和修改大量注册表项。     

动态链接库Windows的活动大陆

在Windows的世界中,有无数块活动的大陆,它们都有一个共同的名字—态链接库。在这篇文章中,你不但可以系统地学习到动态链接库的原理,还能掌握一些不为人知的秘密:你想知道DLL文件中究竟有什么东西吗?你想知道某个DLL究竟实现了什么功能吗?为什么有的DLL需要注册?又为什么放一个DLL在插件目录里就能让EXE支持新的功能?     

远程线程注入DLL的检测与卸载方法研究

研究了Windows操作系统下的一种木马检测技术,该木马结合了远程线程注入、动态链接库（DLL）等技术。针对目前最新的远程线程注入实现木马隐藏的关键技术,提出了一种进程被远程注入动态链接库的检测方法和相应动态链接库的卸载方法。实验表明,这种方法对已被远程线程注入DLL的进程检测和恢复效果明显。     

DLL两个典型故障的解决技巧

什么是DLL?DLL就是动态链接库，它是包含函数和数据的模块的集合，程序文件(如.exe文件或．dll文件）在运行时加载这些模块(亦即所需的模块映射到调用进程的地址空间)下面两类函数定义了DLL——导出函数；这些函数由其他模块调用；内部函数：这些函数仅从定义它们的DLL中调用。DLL还导出数据，不过，这些数据由相应的函数使用，我们在使用电脑过程中，经常会遇见这样或那样的DLL错误，本文介绍——     

认识DLL文件

DLL是DynamicLinkLibrary的缩写,意为动态链接库。在Windows中,许多应用程序并不是一个完整的可执行文件,它们被分割成一些相对独立的动态链接库,即DLL文件,放置于系统中。当我们执行某一个程序时,相应的DLL文件就会被调用。一个应用程序可有多个DLL文件,一个DLL文件也可能被几个应用程序所共用,这样的DLL文件被称为共享DLL文件。DLL文件一般被存放在C:\Win-dows\System目录下。1.如何了解某应用程序使用了哪些DLL文件?右键单击该应用程序并选择快捷菜单中的“快速查看”命令,在随后出现的“快速查看”窗口的“引入表”一栏中…