DLL病毒的常用3種清除方法總結
DLL病毒的幾種基本原理:
單獨編寫的DLL檔案病毒:這類病毒是最容易被清除的DLL病毒,其原理也非常簡單。病毒作者編寫一個DLL檔案,然後透過登錄檔的Run鍵值或者其他可以被系統載入的地方啟動。
替換系統檔案的DLL病毒:病毒作者把病毒程式碼做成一個和系統匹配的DLL檔案,並把原來的DLL檔案改名。遇到應用程式請求原來的DLL檔案時,DLL病毒就啟一個轉發的作用,把“引數”傳遞給原來的DLL檔案。透過偷樑換柱的方法,DLL病毒堂而皇之的在使用者電腦中活動。
動態嵌入式DLL病毒:這類病毒,可以在系統程序執行的時候,透過一些方法,進入系統的程序中。由於系統程序無法終止,動態嵌入式的DLL病毒很難清除。
下面,我們以臭名昭著的守護者(NOIRQUEEN)DLL木馬為例,介紹一下DLL病毒的清除方法。
工具/原料
DLL備份補丁
步驟/方法
1、第一步:查詢DLL木馬的Loader:
守護者(NOIRQUEEN)會以DLL檔案的形式插入到系統的Lsass.exe程序中,由於Lsass.exe是系統的關鍵程序,不能被終止。這種情況下,我們必須查詢守護者的Loader。
使用“程序獵手”工具檢視Lsass程序所呼叫的DLL檔案,並與感染病毒前的資訊比較,可以發現Lsass程序中增加了“QoSserver.dll”檔案。透過作業系統自帶的檔案搜尋功能,查詢到了QoSserver.exe檔案,這就是守護者的Loader。
2、第二步:結束相關程序:
感染了守護者病毒,在任務管理器中會有一個QoSserver.exe程序,強制結束這個程序。並在“服務”選項中,找到該項服務,並將其禁用。
3、第三步:清理登錄檔:
利用登錄檔中的查詢服務,查詢“QoSserver”關鍵字,並且將其鍵值逐一刪除。
所有操作完成之後,重新啟動計算機,然後逐一檢查守護者是否被清理乾淨。這樣,我們就可以手工清除DLL病毒。由於DLL病毒型別不同,其清除方法也有所差異。不過,其步驟都是相同的,先用工具軟體查詢DLL病毒的Loader,然後針對具體情況採取不同的措施清除病毒。DLL病毒的.清理相當的複雜,而且一些比較頑固的DLL病毒,一次很難清理乾淨。對於一些隱蔽性非常強的DLL病毒,防毒軟體沒有查殺能力,必須採用特殊的清除方法來清除。
注意事項
無論使用哪種方法啟動,DLL病毒都需要藉助一個可執行檔案來啟動,這也就是程式設計師俗稱的“Loader”。只要DLL病毒啟動了,就會透過登錄檔中的啟動選項載入,還要知道DLL病毒的原始檔名字。
[DLL病毒的常用3種清除方法總結]相關文章:
1.DLL病毒的常用3種清除方法總結
【DLL病毒的常用3種清除方法總結】相關文章: