两种方法删除感染病毒的顽固DLL文件

DLL文件是Windows系统中一种比较特殊的二进制文件,不少病毒、木马生成的DLL文件具有无进程、不可删除、启动方式多样、隐蔽性高等特点。很多时候我们是通过杀毒软件的提示知道某个DLL文件感染了病毒,但不论是在杀毒软件中选择删除该文件还是手工删除该文件都始终提示出错。我们之所以无法删除可恶的DLL文件,是因为它依附到了其他进程之中,而这些进程的存在也使     

CHIP信息安全技术 DLL木马揭秘

有一种木马和DLL文件息息相关,被很多人称之为“DLL木马”,那么这种木马的特殊性在哪 里?它和DLL文件到底有什么关系?它采用了什么技术使得自己难以被用户察觉?我们又该如伺查 杀和清除这种木马?这些都是在本文中要谈到的话题。     

实战! DLL木马大规模来袭! 网络安全工程师技能培训

应急处理篇工程师提出了防御动态嵌入式DLL木马应急处理方案为了保证数据不出现丢失,工程师在尽量不重新安装操作系统的环境中首要解决DLL木马后门的问题。在Windows NT系统,DLL木马一般都藏在System32     

基于局域网渗透的木马技术研究与实现

考虑局域网渗透的需求,对现有的木马技术进行了研究,深入分析了动态嵌入式DLL木马中的远程线程技术,提出了一种基于Winsock 2 SPI的新型DLL木马.该木马与采用远程线程技术的木马相比,在Windows环境中具有很好的隐藏性和跨平台性,在局域网渗透中具有一定的应用价值.     

基于SPI及远程线程技术的新型木马研究

研究了Windows操作系统下的一种新型木马技术。该木马结合了Winsock 2新特性SPI技术、Windows内核技术中远程植入线程技术、Windows文件系统中动态链接库(DLL)技术,并借鉴了防火墙数据报过滤和拦截的一些特性,实现了一种新的木马隐藏形态。     

隐藏木马检测技术的研究

在分析了目前Windows系统中采用DLL技术的木马程序的检测技术,并在该基础上,提出了一种检测基于DLL转发机制木马的新技术。     

DLL故障排除

几乎所有的Windows程序都是依赖DLL文件的，包括Windows自己。在这篇文章中，我们将介绍一些因DLL文件而引起的错误。     

动态嵌入式DLL木马简便发现与清除方法

首先．我们来了解一下什么是动态嵌入式木马，为了在NT系统下能够继续隐藏进程，木马的开发者们开始利用DLL（Dynamic Link Library动态链接库）文件．起初他们只是将自己的木马写成DLL形式来替换系统中负责Win Socket1．x的函数调用wsock32．dlt（Win Socket2中则由WS2_32．DLL负责），这样通过对约定函数的操作和对未知函数的转发（DLL木马替换wsock32．dlt时会将之更名，     

Windows图标修改大法

在默认状态下,Windows的系统图标被保存在Windows\System\Shell32.DLL文件中。例如:3.5软盘的图标是Shell32.DLL文件中的第6号图标(从0开始),而[开始]菜单中[运行]项前的图标是第24号图标。Windows每次启动时,并不从Shell32.DLL中读取图标,而是先在Windows目录下查找SbllIconCache     

特洛伊木马分析与防范

介绍特洛伊木马的特点,详细分析了两种DLL木马的特征和具体实现方法,给出利用Windows API钩子技术防范木马的方法.     

你该怎么办:DLL之惑 动态链接库引起的系统与软件故障解决

序幕我们平时在使用Windows系统及各种应用软件时,经常会遇到与DLL文件有关的故障,例如找不到指定的DLL文件、所需的DLL文件损坏等等。由于DLL文件通常是Windows系统及应用软件的核心组成部分,所以一旦DLL"闹别扭",往往会引起系统无法启动、应用软件不能正常运行等问题,严重影响了我们的日常工作。这些故障,有些是由于Windows系统或应用软件自身损坏而引起、有些是由于恶意程序破坏引起、有些则可能是人为设置所引起的。当遇到DLL文件故障时,你该怎么办?     

Windows下DLL文件及中文之星最小安装

在Windows下安装的应用程序目录中,都存在着大量的动态链接库DLL文件,这些DLL文件分别被一个或多个Win-dows程序、其他应用程序同时调用,而Windows程序、其他应用程序又可能同时调用一个或多个DLL文件。Windows可执行文件中包含许多Windows信息,其中的NE格式起始3EH中,保存了入口表、引用表、Windows版本号等众多有用信息。如何确定DLL被哪些程序调用,可以使我们得到不少实际的应用,下面举一简单的例子来说明。 我的系统是Windows 3.2中文版,装了许多英文应用软件,硬盘空间十分紧张。可是我很喜欢中文之星的动态翻译,     

基于模拟加载法的DLL木马检测模型设计*

针对DLL木马不能直接运行的特性和高隐蔽性带来的检测难度,设计了一个基于模拟加载技术的DLL木马检测模型,并基于该模型实现了一个DLL木马检测系统。介绍了检测系统的总体结构图,阐述了检测系统的模块架构,给出了特征信息库的建立流程,详细分析了检测系统的关键技术。实验结果表明,基于模拟加载法的DLL木马检测系统能够快速判定被检测文件的危险等级,可以有效降低漏报率。     

Windows NE格式及多余DLL的清除

本文给出了Windows的NE格式,并给出了寻找Windows的可执行文件或DLL文件引用的DLL名称 的方法,由此可以判断出硬盘中多余的DLL,从而为删除多余DLL节省硬盘空间提供了条件。     

Windows中的图标

一、图标来自何处 图标在Windows系统中是广泛存在的,可以说具有丰富的资源,可从以下几方面寻找图标: 1.Windows的动态链接库 以DLL为后缀的Windows动态链接库中为用户提供了最广泛的图标资源,每一个DLL文件都可能存有几个甚至上百个图标,比如Moricons.DLL中存有106个图标,而Shell.DLL中存有72个图标等等。 2.Windows的应用程序 每一个Windows的可执行文件都至少拥有一个     

让Windows的自带程序装卸自如

在Windows系统中安装和卸载程序是件非常容易的事情,一般用户通过安装和卸载程序向导就能很轻松地完成。但安装和卸载Windows程序还有一些鲜为人知的小技巧,使用Rundll32命令安装和卸载Windows程序就是其中之一,可能你从来还没接触过,下面我们就一起领略它的神奇功能吧!提示:Rundll32.exe是Windows系统提供的一个命令,它用来调用32位的DLL函数(16位的DLL文件用Rundll.exe来调用。DLL文件是Windows的基础,所有的API函数都是在DLL中实现的,它不能独立运行,一般由进程加载并调用,运行DLL文件最简单的方法是利用Rundll32.exe,它的命令格式是“Rundll32.exe 动态链接库名、函数名、参数名”。     

远程线程注入DLL的检测与卸载方法研究

研究了Windows操作系统下的一种木马检测技术,该木马结合了远程线程注入、动态链接库（DLL）等技术。针对目前最新的远程线程注入实现木马隐藏的关键技术,提出了一种进程被远程注入动态链接库的检测方法和相应动态链接库的卸载方法。实验表明,这种方法对已被远程线程注入DLL的进程检测和恢复效果明显。     

基于Winsock 2 SPI技术的木马植入新方案

研究了如何在Windows下将DLL技术与Winsock 2中的SPI技术结合起来实现木马植入的新方案,方案给出了木马植入与自启动的一体化方法,并创建了独立的木马植入程序,由该程序实现木马的自启动功能和从木马程序中分离出来的植入功能。采用该方案实现的木马具有很好的隐藏性和灵活性。     

Windows系统下木马程序的设计与实现

本文首先介绍了木马的隐藏、自启动和通信,然后详细讲述了Windows系统下DLL木马的功能设计和实现,包括设置 系统钩子、获取并上传主机信息、执行远程关机等。     

软件/系统问答

文件数字签名问题Q在查找DLL动态嵌入式木马时,可以根据文件属性中的相关信息来判断文件是不是木马。最近我看到有一种名为“EXE伪装器”的工具,它可以把系统文件的属性完整地复制到木马文件上,在这种情况下,微软的数字签名工具是否能够把正常的系统文件和木马文件识别出来?