【賽迪網-IT技術報道】俗話說得好:“知已知彼,百戰不殆”。這句話,不僅常用到軍事戰爭中, 同樣的,在網絡這塊沒有硝煙的戰場上,攻防也自成一套。 不清楚攻擊方式,怎么能更好的防御?在接下來的介紹中,我們從中了解下“遠程線程注入DLL”的方式,并使用相關的技巧做好防御。
測試環境:
Windows XP SP2 終截者抗病毒軟件 V5.3
Process Explorer v10.2 Autoruns v8.53
藍蝴蝶遠程控制 v2.0 新世紀首發版
一般遠程控制程序都需要生成一個服務器端,給中毒者機器運行的程序。 從中我們可以看到,大部分后門木馬都采用注入到系統正常的進程中,如下圖的這款“藍蝴蝶遠程控制”:
注入到Explorer.exe 中的木馬DLL。
妙用終截者密碼鎖 防住木馬注入
早期聽聞“終截者抗病毒軟件”中的“密碼鎖”功能簡單實用,功能卻不乏強大。經過簡單的實驗,發現其確用保護進程不被木馬非法注入病毒DLL的功能。
直接打開Windows文件夾,找到explorer.exe拖拉到“密碼鎖保護列表”中或點擊界面中的“添加“按鈕添加進去,如下圖所示:
經過簡單的操作,Explorer.exe或iexplorer.exe 就可以防止此類木馬的DLL遠程線程注入了。
