扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
第一步:查找被感染的进程
小提示:判断是否中招的前提是要找出被感染的进程,按被插入进程的类别分,DLL木马大致可以分为:
3.对于插入本身就开放端口进程如alg.exe、svchost.exe,需要通过连接状况、连接IP、调用DLL综合加以判断。
第二步:追查木马真凶
知道被插入DLL木马的进程,我们就可以通过比较进程调用的DLL模块来甑别。
1.到其它正常电脑上启动命令提示符运行“tasklist /m /fo list >G:\dll1.txt”,将当前进程加载所有DLL文件以列表形式输出,然后打开dll.txt并复制lsass.exe加载的DLL文件列表(见图2)。
小提示:
如果无法确定哪个进程被插入木马,可以先输出所有DLL文件,然后在Excel中排序和正常状态DLL文件比较,依次找出新增的DLL文件一一排查。
第三步:删除木马文件
从上可以知道DLL木马就在上述多出的4个文件中,现在通过搜索功能找到这些文件(DLL文件大多在系统目录,搜索范围可限制在此),并通过查看属性最终找到真凶为c:\windows\system32\share.dll。现在进入安全模式将share.dll删除,然后根据它的创建时间、大小找到木马的同伙并删除。一般微软系统DLL文件都有版本标签,而且文件日期大多是一样的,可以通过这些属性判断。
小提示:对于插入notepad、IE、explorer.exe等进程的dll木马,可以将进程终止后直接删除dll木马。
第四步:做好备份,防患于未然
相对来说,本例被插入木马的系统进程比较容易判断,但是对插入系统本身就开放端口的进程如svchost.exe,判断起来就比较困难。因此我们平时要用Tasklist命令做好常见系统进程DLL文件备份,这样就可以在怀疑自己中招时,重启并关闭任何无关程序,然后通过Excel排序快速找到木马真凶!
注意:系统有多个svchost.exe进程,但是它们进程pid是不同的,需要分开备份。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者