DLL病毒的常用3種清除方法
DLL病毒的常用3種清除方法
臭名昭著的守護者(NOIR—QUEEN)DLL木馬,DLL病毒的清除方法有哪些呢?下面是學(xué)習(xí)啦小編收集整理的DLL病毒的常用3種清除方法,希望對大家有幫助~~
DLL病毒的常用3種清除方法
DLL病毒的幾種基本原理:
單獨編寫的DLL文件病毒:這類病毒是最容易被清除的DLL病毒,其原理也非常簡單。病毒作者編寫一個DLL文件,然后通過注冊表的Run鍵值或者其他可以被系統(tǒng)加載的地方啟動。
替換系統(tǒng)文件的DLL病毒:病毒作者把病毒代碼做成一個和系統(tǒng)匹配的DLL文件,并把原來的DLL文件改名。遇到應(yīng)用程序請求原來的DLL文件時,DLL病毒就啟一個轉(zhuǎn)發(fā)的作用,把“參數(shù)”傳遞給原來的DLL文件。通過偷梁換柱的方法,DLL病毒堂而皇之的在用戶電腦中活動。
動態(tài)嵌入式DLL病毒:這類病毒,可以在系統(tǒng)進程運行的時候,通過一些方法,進入系統(tǒng)的進程中。由于系統(tǒng)進程無法終止,動態(tài)嵌入式的DLL病毒很難清除。
下面,我們以臭名昭著的守護者(NOIR—QUEEN)DLL木馬為例,介紹一下DLL病毒的清除方法。
工具/原料
DLL備份補丁
步驟/方法
第一步:查找DLL木馬的Loader:
守護者(NOIR—QUEEN)會以DLL文件的形式插入到系統(tǒng)的Lsass.exe進程中,由于Lsass.exe是系統(tǒng)的關(guān)鍵進程,不能被終止。這種情況下,我們必須查找守護者的Loader。
使用“進程獵手”工具查看Lsass進程所調(diào)用的DLL文件,并與感染病毒前的信息比較,可以發(fā)現(xiàn)Lsass進程中增加了“QoSserver.dll”文件。通過操作系統(tǒng)自帶的文件搜索功能,查找到了QoSserver.exe文件,這就是守護者的Loader。
第二步:結(jié)束相關(guān)進程:
感染了守護者病毒,在任務(wù)管理器中會有一個QoSserver.exe進程,強制結(jié)束這個進程。并在“服務(wù)”選項中,找到該項服務(wù),并將其禁用。
第三步:清理注冊表:
利用注冊表中的查找服務(wù),查找“QoSserver”關(guān)鍵字,并且將其鍵值逐一刪除。
所有操作完成之后,重新啟動計算機,然后逐一檢查守護者是否被清理干凈。這樣,我們就可以手工清除DLL病毒。由于DLL病毒類型不同,其清除方法也有所差異。不過,其步驟都是相同的,先用工具軟件查找DLL病毒的Loader,然后針對具體情況采取不同的措施清除病毒。DLL病毒的清理相當(dāng)?shù)膹?fù)雜,而且一些比較頑固的DLL病毒,一次很難清理干凈。對于一些隱蔽性非常強的DLL病毒,殺毒軟件沒有查殺能力,必須采用特殊的清除方法來清除。
DLL病毒的常用3種清除方法相關(guān)文章: