InjectedDll汉化版-查看进程被Dll注入的情况

前段时间被微软的一个IE更新补丁害惨了，Flash控件无法自动激活，结果很多使用src代码内嵌flash文件的网站都不正常显示，总是弹出一个对话框询问是打开还是保存某个flash文件。这个问题在网易VIP邮箱首页和联众游戏的弹出广告中尤为明显，妈妈实在受不了没打完一局牌就要处理一次对话框的情况。而我习惯打完补丁后就删除备份文件，避免做备份时生成的镜像文件太大，结果就是无法卸载这个补丁了。

加上摄像头的驱动好像也却系统文件，无奈就为了一个补丁重装系统。由于一直不确定是哪个补丁造成的问题（网上的资料都是胡说八道），所以干脆只用原版XP+SP2安装，安装以后不打任何升级补丁，按习惯也不用任何杀毒软件(虽然去年我就知道可以突破SP2制作网页木马了)。想着韩国数百万台没有微软技术支持的装着Win98的电脑，我自以为这XP+SP2再不安全也比98好多了吧，没那么容易中毒的。结果，两天后系统多了两个iexplorer.exe进程，对于不用IE的人来说就是意味着中毒了，95%的可能是灰鸽子，5%的可能是黑洞，其他插入IE进程的反弹木马很少有人用。如果中了灰鸽子，无非就是用专杀工具搞定和手工清除注入的dll文件(这样走弯路搞的人很有个性也很无聊，可惜我就是)。

终于跳到正题了，灰鸽子之类的先进木马(技术的确是世界领先的)，基本上都不会有.exe格式的主程序，而是把所有功能函数封装在.dll文件中，然后通过注入iexplorer.exe(IE)或者explorer.exe(桌面)中来启动和穿透防火墙(这个一般还要配合http封包伪装)。

进入安全模式对于任何杀毒都是有好处的，当然进入DOS可以让任何现有病毒都无法工作，不过你自己也别想做什么工作，这个时候的病毒就像在冬眠。要清除注入的Dll文件，首先就是要查找到到底是什么Dll注入了，这个时候InjectedDll就派上用场了。 之前我记得系统只有三个合法的dll注入：IMM32.dll,IndicDll.dll,msctfime.ime

这个时候如果有任何多出来的dll文件都可能是可疑文件了，G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端，有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。而G_Server.exe这个名称并不固定，它是可以定制的，比如当定制服务端文件名为A.exe时，生成的文件就是A.exe、A.dll和A_Hook.dll(注意这个Hook)。但这些名称和系统中的合法注入进程肯定是不同的，通过InjectedDll查找并结束这些Dll文件注入的进程，找到Dll文件的位置，配合上一些强制删除工具就可以搞定了

下载地址：http://www.onlinedown.net/soft/52208.htm