飞鱼博客

DLL木马已经诞生很久了，它比传统的EXE木马程序更难清除也更隐蔽，所以掌握好它的查杀方法也显得尤其重要。

DLL木马是什么？

我们平时大多碰到的木马或病毒的扩展名为EXE的，被称为EXE木马病毒。那扩展名为DLL病毒即为DLL木马病毒。

DLL是编译好的程序代码，和一般EXE程序没什么大差别，只是它不能独立运行，需要EXE程序调用。学过自己编写DLL，就会发现，DLL的代码和EXE几乎没什么两样，仅仅是接口和启动模式不同，只要改动一下代码入口，DLL就能变成EXE程序了。也就说，一个EXE木马病毒，改变了接口和启动模式，就成为了DLL木马病毒了。

也许有人会问，既然同样的代码就能实现木马功能，那么直接做成EXE程序就行，为什么还要多此一举写成DLL呢？这是为了隐藏，因为DLL运行时是直接挂在调用它的程序进程里的，并不会另外产生进程，所以相对于传统EXE木马来说，他非常难被查到。

Dll木马病毒就像是一个寄生虫，以DLL文件的形式入驻用户硬盘，嵌入某个重要的系统进程中，通过系统文件来调用DLL，实现远程控制的功能。这样的木马嵌入到系统进程中可以穿越防火墙，更让人头疼的是，用杀毒软件进行查杀，即使报警提示发现病毒，也无法彻底清除木马病毒文件，因为木马DLL文件正被系统文件调用，是禁止删除的。

下面我们把杀毒软件放到一边，通过专用工具及其手工的方法来清除DLL木马。

一、清除思路

1、通过系统工具及其第三方工具找到木马的宿主进程，然后定位到木马DLL文件。
2、结束被木马注入的进程。
3、删除木马文件。
4、注册表相关项的清除。

二、 清除方法

1、普通进程DLL注入木马的清除

有许多DLL木马是注入到"iexplore.exe"和"explorer.exe"这两个进程中的，对于注入这类其它普通进程的DLL木马是很好清除掉的。

如果DLL文件是注入到"iexplore.exe"进程中，此进程就是IE浏览器进程，那么可以关掉所有IE窗口和相关程序，然后直接找到DLL文件进行删除就可以了。如果是注入到"explorer.exe"进程中，那么就略显麻烦一些，因为此进程是用于显示桌面和资源管理器的。当通过任务管理器结束掉"explorer.exe"进程时，桌面无法看破到，此时桌面上所有图标消失掉，“我的电脑”、“网上邻居”等所有图标都不见了，也无法打开资源管理器找到木马文件进行删除了。怎么办呢？

这时候可以在任务管理器中点击菜单“文件”→“新任务运行”，打开创建新任务对话框，点击“浏览”挖通过浏览对话框就可以打开DLL文件所在的路径。然后选择“文件类型”为“所有文件”，即可显示并删除DLL了。

提示：如果你熟悉命令行（cmd.exe）的话，可以直接通过命令来清除，如：

taskkill /f /im explorer.exe

del C:\Windows\System32\test.dll

start explorer.exe

第一行是结束explorer.exe，第二行是删除木马文件test.dll，第三行是重启explorer.exe。

2、使用冰刃IceSword卸载DLL文件调用

如果木马是插入了"svchost.exe"之类的关键进程中，就不能指望进程管理器来结束进程了，可能需要一些附加的工具卸载掉某个DLL文件的调用。

IceSword的功能十分强大，可以利用它卸载掉已经插入到正在运行的系统进程中的DLL文件。在IceSword的进程列表显示窗口中，右键点击DLL木马宿主进程，选择弹出菜单中的“模块信息”命令打开DLL模块列表对话窗口。选择可疑的模块后，点击“卸载”按钮即可将DLL木马进程中删除掉了。

如果提示不能卸载的话，可以点击“强行解除”按钮，从进程中强行删除该DLL调用。这时候就可以从“模块文件名”栏中，得到DLL文件文件的路径，然后到文件夹中将DLL木马彻底删除掉。

3、通过系统权限法来清除DLL木马

在Windows系统中，NTFS分区格式具有强大的文件限制设置功能，可以设置某个文件是否可以被程序调用访问等。通过这个功能，我们一样可以阻止木马调用相应的DLL文件，从而彻底地清除掉DLL木马文件。

双击打开“我的电脑”，点击菜单，工具→文件夹选项→查看，在高级设置的选项卡下去掉“简单文件共享”的选择。

然后定位到无法删除的DLL文件上，右键点击该文件，在弹出菜单中选择“属性”命令，单击“高级”按钮，在弹出的窗口中去掉“从父项继承那些可以应用的到子对象的权限项目，包括那些在此明确定义的项目”不被选中。再在弹出的窗口中单击“删除”，再依次单击“确定”。这样就没有任何用户可以访问和调用这个DLL木马文件了。重新启动系统就可以删除该DLL文件了。

4、恢复系统

将DLL文件删除后，还要到注册表中找到所有与该DLL木马关联的项目，尤其是这几个与自动启动有关的项目：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

另外，DLL木马不仅仅局限存在于Run、Runonce这些众所周知的子键，而有可能存在于更多的地方。例如对于后门类的DLL来说"KnownDLLs"就是再好不过的藏身之处。在注册表的HEKY_LOCALMACHINE\SYSTEM\ControlSet001\Control\Session Manager\KnownDLLs子键下，存放着一些已知DLL的默认路径。假设DLL木马修改或者增加了某些键值，那么DLL木马就可以在系统启动的时候悄无声息地代替正常的DLL文件被加嵌入到相应的进程中。

三、总结

总的来说，DLL木马病毒的种类极多，木马选择的注册表选项及其系统进程也不尽相同。清除DLL木马的总体思路是这样的：在碰到DLL注入类木马时，我们可以首先考虑用procexp之类的工具，查找出DLL类木马的宿主进程。找到宿主进程后，如果是注入到普通可结束的进程中，可以直接将宿主进程结束后直接删除木马文件即可。如果DLL木马是注入到系统关键进程中的话，可以考虑用IceSword卸载DLL文件；如若失败，那么直接用SSM建立规则或者通过阻止DLL文件的加载就可以了。

DLL注入型木马并不会感染其它文件，只要结束木马进程，删除木马文件，木马就无法死灰复燃了。最后剩下的工作就是清除掉木马在注册表和其它启动文件中留下的项目。

【参考文章http://www.killdu.cn/zhishi/1434.html】