握着你的“手”清除DLL后门

作者：dahubaobao [Nuke Group]
团体站点http://www.digitalnuke.com/main/
邮件：dahushibaobao@vip.sina.com
QQ：47809945
发表于黑客X档案2004年2期
工具及图片都在压缩包中，解压密码：www.ringz.orghttp://dahubaobao.go.nease.net/DLL.rar
欢迎进入环形区，一群技术狂热者的社区，www.ringz.org欢迎你的加入！
=====================================================================
握着你的“手”来清除DLL后门
------DLL后门清除完全篇
前言
后门！相信这个词语对您来说一定不会陌生，它的危害不然而欲，但随着人们的安全意识逐步增强，又加上杀毒软件的“大力支持”，使传统的后门无法在隐藏自己，任何稍微有点计算机知识的人，都知道“查端口”“看进程”，以便发现一些“蛛丝马迹”。所以，后门的编写者及时调整了思路，把目光放到了动态链接程序库上，也就是说，把后门做成DLL文件，然后由某一个EXE做为载体，或者使用Rundll32.exe来启动，这样就不会有进程，不开端口等特点，也就实现了进程、端口的隐藏。本文以“DLL的原理”“DLL的清除”“DLL的防范”为主题，并展开论述，旨在能让大家对DLL后门“快速上手”，不在恐惧DLL后门。好了，进入我们的主题。

一，DLL的原理
1，动态链接程序库
动态链接程序库，全称：Dynamic Link Library，简称：DLL，作用在于为应用程序提供扩展功能。应用程序想要调用DLL文件，需要跟其进行“动态链接”；从编程的角度，应用程序需要知道DLL文件导出的API函数方可调用。由此可见，DLL文件本身并不可以运行，需要应用程序调用。正因为DLL文件运行时必须插入到应用程序的内存模块当中，这就说明了：DLL文件无法删除。这是由于Windows内部机制造成的：正在运行的程序不能关闭。所以，DLL后门由此而生！

2，DLL后门原理及特点
把一个实现了后门功能的代码写成一个DLL文件，然后插入到一个EXE文件当中，使其可以执行，这样就不需要占用进程，也就没有相对应的PID号，也就可以在任务管理器中隐藏。DLL文件本身和EXE文件相差不大，但必须使用程序（EXE）调用才能执行DLL文件。DLL文件的执行，需要EXE文件加载，但EXE想要加载DLL文件，需要知道一个DLL文件的入口函数（既DLL文件的导出函数），所以，根据DLL文件的编写标准：EXE必须执行DLL文件中的DLLMain（）作为加载的条件（如同EXE的mian（））。做DLL后门基本分为两种：1）把所有功能都在DLL文件中实现；2）把DLL做成一个启动文件，在需要的时候启动一个普通的EXE后门。

常见的编写方法：
(1)，只有一个DLL文件

这类后门很简单，只把自己做成一个DLL文件，在注册表Run键值或其他可以被系统自动加载的地方，使用Rundll32.exe来自动启动。Rundll32.exe是什么？顾名思意，“执行32位的DLL文件”。它的作用是执行DLL文件中的内部函数，这样在进程当中，只会有Rundll32.exe，而不会有DLL后门的进程，这样，就实现了进程上的隐藏。如果看到系统中有多个Rundll32.exe，不必惊慌，这证明用Rundll32.exe启动了多少个的DLL文件。当然，这些Rundll32.exe执行的DLL文件是什么，我们都可以从系统自动加载的地方找到。

现在，我来介绍一下Rundll32.exe这个文件，意思上边已经说过，功能就是以命令行的方式调用动态链接程序库。系统中还有一个Rundll.exe文件，他的意思是“执行16位的DLL文件”，这里要注意一下。在来看看Rundll32.exe使用的函数原型：
Void CALLBACK FunctionName (
HWND hwnd
HI

NSTANCE hinst
LPTSTR lpCmdLine
Int nCmdShow
);

其命令行下的使用方法为：Rundll32.exe DLLnameFunctionname [Arguments]
DLLname为需要执行的DLL文件名；Functionname为前边需要执行的DLL文件的具体引出函数；[Arguments]为引出函数的具体参数。

(2)，替换系统中的DLL文件
这类后门就比上边的先进了一些，它把实现了后门功能的代码做成一个和系统匹配的DLL文件，并把原来的DLL文件改名。遇到应用程序请求原来的DLL文件时， DLL后门就启一个转发的作用，把“参数”传递给原来的DLL文件；如果遇到特殊的请求时（比如客户端），DLL后门就开始，启动并运行了。对于这类后门，把所有操作都在DLL文件中实现最为安全，但需要的编程知识也非常多，也非常不容易编写。所以，这类后门一般都是把DLL文件做成一个“启动”文件，在遇到特殊的情况下（比如客户端的请求），就启动一个普通的EXE后门；在客户端结束连接之后，把EXE后门停止，然后DLL文件进入“休息”状态，在下次客户端连接之前，都不会启动。但随着微软的“数字签名”和“文件恢复”的功能出台，这种后门已经逐步衰落。

提示：
在WINNTsystem32目录下，有一个dllcache文件夹，里边存放着众多DLL文件（也包括一些重要的EXE文件），在DLL文件被非法修改之后，系统就从这里来恢复被修改的DLL文件。如果要修改某个DLL文件，首先应该把dllcache目录下的同名DLL文件删除或更名，否则系统会自动恢复。

(3)，动态嵌入式
这才是DLL后门最常用的方法。其意义是将DLL文件嵌入到正在运行的系统进程当中。在Windows系统中，每个进程都有自己的私有内存空间，但还是有种种方法来进入其进程的私有内存空间，来实现动态嵌入式。由于系统的关键进程是不能终止的，所以这类后门非常隐蔽，查杀也非常困难。常见的动态嵌入式有：“挂接API”“全局钩子（HOOK）”“远程线程”等。

远程线程技术指的是通过在一个进程中创建远程线程的方法来进入那个进程的内存地址空间。当EXE载体（或Rundll32.exe）在那个被插入的进程里创建了远程线程，并命令它执行某个DLL文件时，我们的DLL后门就挂上去执行了，这里不会产生新的进程，要想让DLL后门停止，只有让这个链接DLL后门的进程终止。但如果和某些系统的关键进程链接，那就不能终止了，如果你终止了系统进程，那Windows也随即被终止！！！

3，DLL后门的启动特性

启动DLL后门的载体EXE是不可缺少的，也是非常重要的，它被称为：Loader。如果没有Loader，那我们的DLL后门如何启动呢？因此，一个好的DLL后门会尽力保护自己的Loader不被查杀。Loader的方式有很多，可以是为我们的DLL后门而专门编写的一个EXE文件；也可以是系统自带的Rundll32.exe，即使停止了Rundll32.exe，DLL后门的主体还是存在的。3721网络实名就是一个例子，虽然它并不是“真正”的后门。

二，DLL的清除
本节以三款比较有名的DLL后门例，分别为“SvchostDLL.dll”“BITS.dll”“QoServer.dll”。详细讲解其手工清除方法。希望大家在看过这三款DLL后门的清除方法之后，能够举一反三，灵活运用，在不惧怕DLL后门。其实，手工清除DLL后门还是比较简单的，无非就是在注册表中做文章。具体怎么做，请看下文。

1，PortLess BackDoor
这是一款功能非常强大的DLL后门程序，除了可以获得Local System权限的Shell之外，还支持如“检测克隆帐户”“安装终端服务”等一系列功能（具体可以参见程序帮助），适用Windows2000/xp/2003等系统。程序使用svchost.exe来启动，平常不开端口，可以进行反向连接（最大的特点哦），对于有防火墙的主机来说，这个功能在好不过了。

在介绍清除方法之前，我们先来简单的介绍一下svchost.exe这个系统的关键服务：
Svchost只是做为服务的宿主，本身并不实现什么功能，如果需要使用Svchost来启动服务，则某个服务是以DLL形式实现的，该DLL的载体Loader指向svchost，所以，在启动服务的时候由svchost调用该服务的DLL来实现启动的目的。使用svchost启动某个服务的DLL文件是由注册表中的参数来决定的，在需要启动服务的下

边都有一个Parameters子键，其中的ServiceDll表明该服务由哪个DLL文件负责，并且这个DLL文件必须导出一个ServiceMain()函数，为处理服务任务提供支持。

呵呵！看了上边的理论，是不是有点蒙（我都快睡着了），别着急，我们来看看具体的内容（如图1）。从图1中，我们可以看到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRpcSs下的Parameters子键，其键值为%SystemRoot%system32 pcss.dll。这就说明：启动RpcSs服务时。Svchost调用WINNTsystem32目录下的rpcss.dll。

在来看看图2，这是注册表的HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSvchost，里边存放着Svchost启动的组和组内的各个服务，其中netsvcs组的服务最多。要使用Svchost启动某个服务，则该服务名就会出现在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSvchost下。这里有四种方法来实现：
1， 添加一个新的组，在组里添加服务名
2， 在现有组里添加服务名
3， 直接使用现有组里的一个服务名，但是本机没有安装的服务
4， 修改现有组里的现有服务，把它的ServiceDll指向自己的DLL后门

我测试的PortLess BackDoor使用的第三种方法。
好了，我想大家看完了上边的原理，一定可以想到我们清除PortLess BackDoor的方法了，对，就是在注册表的Svchost键下做文章。好，我们现在开始。

注：由于本文只是介绍清除方法，使用方法在此略过。

后门的Loader把SvchostDLL.dll插入Svchost进程当中，所以，我们先打开Windows优化大师中的Windows进程管理2.5，查看Svchost进程中的模块信息（如图3），从图3中我们可以看到，SvchostDLL.dll已经插入到Svchost进程中了，在根据“直接使