InjectedDll汉化版-查看进程被Dll注入的情况

作者: admin 分类: 开发工具 发布时间: 2013-03-14 16:36 ė1,750 浏览数 6没有评论
文章转自王牌软件
站长推荐:NSetup一键部署软件
一键式完成美化安装包制作,自动增量升级,数据统计,数字签名。应对各种复杂场景,脚本模块化拆分,常规复杂的脚本代码,图形化设置。无需专业的研发经验,轻松完成项目部署。(www.nsetup.cn)

前段时间被微软的一个IE更新补丁害惨了,Flash控件无法自动激活,结果很多使用src代码内嵌flash文件的网站都不正常显示,总是弹出一个对话框询问是打开还是保存某个flash文件。这个问题在网易VIP邮箱首页和联众游戏的弹出广告中尤为明显,妈妈实在受不了没打完一局牌就要处理一次对话框的情况。而我习惯打完补丁后就删除备份文件,避免做备份时生成的镜像文件太大,结果就是无法卸载这个补丁了。

加上摄像头的驱动好像也却系统文件,无奈就为了一个补丁重装系统。由于一直不确定是哪个补丁造成的问题(网上的资料都是胡说八道),所以干脆只用原版XP+SP2安装,安装以后不打任何升级补丁,按习惯也不用任何杀毒软件(虽然去年我就知道可以突破SP2制作网页木马了)。想着韩国数百万台没有微软技术支持的装着Win98的电脑,我自以为这XP+SP2再不安全也比98好多了吧,没那么容易中毒的。结果,两天后系统多了两个iexplorer.exe进程,对于不用IE的人来说就是意味着中毒了,95%的可能是灰鸽子,5%的可能是黑洞,其他插入IE进程的反弹木马很少有人用。如果中了灰鸽子,无非就是用专杀工具搞定和手工清除注入的dll文件(这样走弯路搞的人很有个性也很无聊,可惜我就是)。

终于跳到正题了,灰鸽子之类的先进木马(技术的确是世界领先的),基本上都不会有.exe格式的主程序,而是把所有功能函数封装在.dll文件中,然后通过注入iexplorer.exe(IE)或者explorer.exe(桌面)中来启动和穿透防火墙(这个一般还要配合http封包伪装)。

进入安全模式对于任何杀毒都是有好处的,当然进入DOS可以让任何现有病毒都无法工作,不过你自己也别想做什么工作,这个时候的病毒就像在冬眠。要清除注入的Dll文件,首先就是要查找到到底是什么Dll注入了,这个时候InjectedDll就派上用场了。 之前我记得系统只有三个合法的dll注入:IMM32.dll,IndicDll.dll,msctfime.ime

这个时候如果有任何多出来的dll文件都可能是可疑文件了,G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端,有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。而G_Server.exe这个名称并不固定,它是可以定制的,比如当定制服务端文件名为A.exe时,生成的文件就是A.exe、A.dll和A_Hook.dll(注意这个Hook)。但这些名称和系统中的合法注入进程肯定是不同的,通过InjectedDll查找并结束这些Dll文件注入的进程,找到Dll文件的位置,配合上一些强制删除工具就可以搞定了

下载地址:http://www.onlinedown.net/soft/52208.htm



只回答业务咨询点击这里给我发消息 点击这里给我发消息

王牌软件,兼职软件设计,软件修改,毕业设计。

本文出自 王牌软件,转载时请注明出处及相应链接。

本文永久链接: http://www.softwareace.cn/?p=252

0

发表评论

电子邮件地址不会被公开。 必填项已用*标注

您可以使用这些HTML标签和属性: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">


Ɣ回顶部

无觅相关文章插件,快速提升流量