本文目录一览:
- 1、什么是DLL文件?
- 2、hide toolz软件中的rootkit是病毒吗,每次一使用它时,360就说有这个木马要攻击
- 3、Backdoor.Win32.Hupigon.rc
- 4、目前最牛的B远控木马有哪些?
- 5、电脑中了BACKDOOR怎么办
什么是DLL文件?
dll实际上是动态链接库的缩写,从windows1.0开始,动态链接库就是整个操作系统的基础,那么这有什么作用呢?在dos时代,程序员是通过编写程序来达到预期的目的的,每实现一个目的就需要编写一个程序,这样下去,简单的还好,要是复杂的程序话,那乞不是既浪费时间,又浪费青春。于是聪明的程序员们想出了一个办法,把的实现一定功能的程序模块存放在一个文件当中,以API函数形式存放在dll当中,当编写程序的时候,需要用到这个功能,那么直接从这个文件当中调用就可以了,于是就出现了dll——动态连接库。
那么动态连接库有什么作用呢?
优点之一,上面已经提过了,程序员把一些模块压入dll文件之后,在要运行程序的时候只需要调用动态链接库就可以了,而并不需要把dll加载到内存中,节省了大量的内存空间,可以方便运行其他的程序,许多朋友在关机的时候,一直关不了,整的郁闷,其实就是因为系统所调用的dll太多,导致了计算机性能的骤减,其实只需要把一些无关紧要的dll删除掉就可以了
优点之二,在一个很大的游戏中,通常需要调用许许多多的动态链接库来给玩家一个美观震撼的效果,《极品飞车9---最高通缉》让本文作者我感受到了一种从来没有感受过的感觉,那种感觉就象是初恋的味道,画面效果棒极了。可是要实现这样一个效果,需要许多程序员编写不同的dll来互相协助,那么这些dll可以用vc++,vb,Delphi,asm等等来完成,只要每个程序员负责编写一个功能,这样只要调用在一起就方便多了,节省了大量的人力,物力,财力。
既然dll有这么多好处,而且又这么方便,我那木马的程序员又做出过什么呢?他只不过
调用了系统的dll函数罢了(windwos系统中有3个非常重要dllkernel32.dlluser32.dllgdi32.dll其中包括windows系统诸多功能的函数)
呵呵,其实话不能这样说。木马的编写者也需要有很深的工夫哦,那么我们现在以黑客之门做为一个例子来看看,这个例子需要的工具depend walker,可以在黑客基地论坛黑客兵器库;fpage=1下载
我们首先来看看用depend walker打开黑客之门的动态链接库
我们发现,在左边的hkdoordll.dll下面的树状结构,显示出了黑客之门所调用的dll列表,从这里不难发现,其实dll也可以调用dll。那么dll我们可以把他看做是一个exe文件,只是少了一个入口函数而已(就暂且这样理解)
分支下有分支,而右边中间的那4个东东,这个是dll的输出函数表,在function栏目下的是输出函数的名称,因此,我们可以很容易发现,黑客之门hkdoordll.dll主要负责4个方面的任务。DllRegisterServer DllUnRegisterServer ServiceMain DllCanUnloadNow
然而这对于一个后门来说已经够了,这需要作者有足够的编程知识,我们再一次向作者致敬。分享了这样一个环保无污染的后门。
通过对上面的知识的理解。我们可以发现其实,dll可真算是一个大宝库,不要对他太狠,一看到可疑的就丢到垃圾筒里去了。其实dll文件还可以盗用哦。盗用的工具,可以在黑客基地论坛黑客兵器库;fpage=1下载
我们用他来打开黑客之门的dll,可以看到他的版权等等,对于有位图,音乐,图表,对话框的dll,我们也可以看到他里面的全部内容。我们可以修改版权,更换位图,更换音乐,更换对话框,总之只有你想不到的,没有你做不到的。
那么既然dll被这样多程序调用,如果结束掉这个木马后门dll的调用过程,那么这个后门是不是没用啦,那回答当然是肯定的,那么如何知道DLL文件被几个程序使用呢?
我们只需要:
运行Regedit,进入HKEY_LOCAL_MACHINE\Software\Microsrft\Windows\Current-
Version\SharedDlls子键查看,其右边窗口中就显示了所有DLL文件及其相关数据,其中数据右边小括号内的数字就说明了被几个程序使用,(2)表示被两个程序使用,(0)则表示无程序使用,可以将其删除。
嘿嘿,这下知道window优化大师那分析dll的原理了吧。
在黑客基地论坛的新手学堂里,经常看到有人求助:我的搜索栏什么也不能显示了,怎么办啊?如图
其实那是因为dll没有注册造成的。
只需要在开始---运行—然后注册两个dll然后重新启动就可以了,具体方法是
regsvr32 vbscript
regsvr32 jscript
当你看到跳出个对话框,里面写着,vbscript 中的dllregister server成功的时候,说明已经注册成功了
什么?还要注册?或许你看到这里开始疑问了,这什么注册啊?是不是象进入一个论坛,需要注册一个帐号才能进入一样呢?
其实系统里面的dll是分为两类的。一类是需要注册的,一类是不需要注册的。
大多数都是通过命令regsvr32来注册的。而windows为了减少所调用的dll的数量,提升计算机的性能以及速度。通常只把几个重要的dll默认就注册了,不常用的dll需要你自己去注册。而注册之后,系统就可以调用他了,从而具有了相应的功能。
而当你认为你的计算机所调用的无用dll太多的时候,可以通过命令regsvr32 /u dll的名称来反注册。
有些朋友的爱机会出现这样的情况,在启动的时候,错误对话框中提示DLL文件丢失
这是因为在卸载文件时会提醒你删除某个DLL文件可能会影响其他应用程序的运行。所以当你卸载软件时,就有可能误删共享的DLL文件。一旦出现了丢失DLL文件的情况,如果你能确定其名称,可以在Sysbckup(系统备份文件夹)中找到该DLL文件,将其复制到System文件夹中。如果这样不行,在电脑启动时又总是出现“***dll文件丢失……”的提示框,你可以在“开始/运行”中运行Msconfig,进入系统配置实用程序对话框以后,单击选择“System.ini”标签,找出提示丢失的DLL文件,使其不被选中,这样开机时就不会出现错误提示了。
在Windows世界中,有无数块活动的大陆,它们都有一个共同的名字——动态链接库。现在就走进这些神奇的活动大陆,找出它们隐藏已久的秘密吧!
初窥门径:Windows的基石
随便打开一个系统目录,一眼望去就能看到很多扩展名DLL的文件,这些就是经常说的“动态链接库”,DLL是Dynamic Link Library(即“动态链接库”)的缩写。从Microsoft公司推出首个版本的Windows以来,动态链接库就一直是这个操作系统的基础。
1.看看DLL里有什么
与其用晦涩的专业术语来解决DLL是什么,不如先来看看DLL里有什么。DLL和EXE文件一样,其中包含的也是程序的二进制执行代码和程序所需的资源(比如图标、对话框、字符串等),可是为什么要把代码放在DLL里面,而不是做成EXE呢?其实DLL中的代码是以API函数形式出现的,通俗地说,DLL中包含的程序代码都被做成了一个个小模块,应用程序通过按下所需DLL中特定的按钮,来调用DLL中这个按钮所代表的功能。在使用“记事本”等程序时,如果要保存文件或打开文件,就会弹出通用文件对话框,选择文件位置。你可知道,这就是调用了系统底层DLL中的通用对话框界面。
2.系统中几个重要的DLL
Windows中有3个非常重要的底层DLL:Kernel32.dll、User32.dll、GDI32.dll。其中Kernel32.dll顾名思义就是内核相关的功能,主要包含用于管理内存、进程和线程的函数;而User32.dll中包含的则是用于执行用户界面任务的函数,比如把用户的鼠标点击操作传递给窗口,以便窗口根据用户的点击来执行预定的事件;GDI32.dll的名称用了缩写,全称是Graphical Device Interface(图形设备接口),包含用于画图和显示文本的函数,比如要显示一个程序窗口,就调用了其中的函数来画这个窗口。
3.为什么要用DLL
刚才在谈到这个问题的时候,只解释了DLL将程序代码封装成函数的原理。为什么封装成函数,就能成为系统中大量使用DLL的理由呢?
①扩展应用程序
由于DLL能被应用程序动态载入内存。所以,应用程序可以在需要时才将DLL载入到内存中,这让程序的可维护性变得很高。比如QQ的视频功能需要升级,那么负责编写QQ的程序员不必将QQ所有代码都重写,只需将视频功能相关的DLL文件重写即可。
②便于程序员合作
这个和最终用户关系不大,仅供了解。大家都知道编程工具有很多,比如VB、VC、Delphi等,如果好几个人合作来编写一个大的程序,那么可能有的人用VB,有的人用VC,每人负责的部分所使用的编程语言都不同,究竟放在哪个编译器中进行编译呢?这就好比一群来自各个国家的人在共同编写一篇文章,如果他们所使用的语言都不同,写出来的文章怎么可能凑到一起呢?而有了DLL后,可以让VC程序员写一个DLL,然后VB程序员在程序中调用,无需为怎么将它们都编译为一个单独的EXE而发愁了。
③节省内存
如果多个应用程序调用的是同一个动态链接库,那么这个DLL文件不会被重复多次装入内存中,而是由这些应用程序共享同一个已载入内存的DLL。就好比一个办公室中,很少会为每一个员工配置一台饮水机的,而是在一个公共位置放上一个饮水机,所有需要喝水的职员都可以共用这台饮水机,降低了成本又节约了空间。
④共享程序资源
包括刚才提到过的通用文件对话框在内,DLL文件提供了应用程序间共享资源的可能。资源可以是程序对话框、字符串、图标,或者声音文件等。
⑤解决应用程序本地化问题
在下载了某个程序的汉化包后,打开汉化说明,经常可以看到用下载包中的DLL文件覆盖掉程序原来的DLL,汉化就完成了。这些程序都是将执行代码和应用程序界面分开编写了,所以汉化者只需简单地将其中和程序界面相关的DLL汉化并发布即可。
求知若渴:探究DLL的真相
谁知道DLL里究竟有多少函数,又有谁知道EXE调用了哪个DLL的哪些函数?其实,这个问题并不难解决。分析EXE文件的工具Dependency Walker(以下简称Depends,点击下载Dependency Walker),今天它就是大家探险的工具,把DLL真相探个通通透透。
1.看看DLL里有多少函数
第一步:下载并解压Depends,运行其中的depends.exe,然后选择菜单“File→Open”(文件→打开),在文件选择框中选中需要分析的DLL文件并打开,此处选择QQ目录下的QQZip.dll。
第二步:在程序左侧的树状栏中就列出了这个DLL使用了哪些其他DLL的功能函数(原来DLL中还可以调用其他DLL^O^),而右侧的两个分栏列表分别显示了函数输入及输出表,函数输出表即为该DLL提供给其他EXE或者DLL调用的函数的总列表。
第三步:函数输出表的Function栏中即为输出函数的名称(见图1),在QQZip.dll中共发现了2个函数:Unzip、Zip。因此可以判断该DLL在QQ程序中负责压缩和解压缩的任务。
图1 QQZip.dll中的函数
2.审审EXE究竟用了哪个DLL
还是拿QQ来作为例子,在Depends中打开QQ.exe,这时界面左侧的树状列表中显示的就是QQ.exe调用的DLL列表(见图2),如果展开这些DLL分支,还会发现其他的DLL,这就说明QQ调用的这些DLL文件还有可能(几乎是肯定)再调用别的DLL。这就好比买了一台新的DVD机,可能其中用的机芯是SONY的,而这个机芯里的一个小电容又有可能是别的公司的,这是同样的道理。
图2 QQ.exe所调用的dll
3.用DLL看穿EXE真面目
刚才得到了QQ.exe所使用的DLL列表,其实通过这个列表,还能分析出很多别的信息。比如其中包含MFC42.dll,所以可以判断QQ.exe是采用VC(即Visual C++)编写的,而包含WSOCK32.dll则说明这个程序带有网络通讯功能(废话!QQ如果不能网络通讯还有什么用……)。以下是一个简表,大家在分析别的EXE时可以根据其所使用的DLL来对其功能进行初步判断。
DLL文件名 可以判断出的EXE信息
MFC42.dll 使用VC5.0/6.0编写。
VBRun*.dll “*”代表数字版本号,使用VB3.0/4.0编写。
MSVBVM50.dll 使用VB5.0编写,在Windows 98(SE)上自带该DLL。
MSVBVM60.dll 使用VB6.0编写,在Windows Me/2000/XP等系统上自带该DLL。
ADVAPI32.dll 可能会进行注册表操作。
WSOCK32.dll 具备网络通讯功能。
WS2_32.dll 具备网络通讯功能。
WININET.dll 具备HTTP浏览、下载等功能,典型的例子是浏览器、下载工具。
WINMM.dll 具备多媒体播放能力。
DDRAW.dll 游戏、高级图像处理工具。
D3D*.dll 3D游戏,或者动画处理工具。
4.DLL是个大宝库
除供应用程序调用函数的DLL外,还有另一种用来保存资源的DLL,比如QQ目录下的QQRes.dll,用Depends打开后发现没有任何输出函数,难道是一个鸡肋DLL?可是改用资源工具Resource Hacker(下载地址:)打开这个DLL后,就发现原来其中保存了这么多QQ的资源,包括图标、音乐、图片、字符串、对话框……(见图3)
图3 dll文件中包含的其他资源
刨根问底:DLL的寓言
DLL引起的故障是很常见的,为什么会引起故障?遇到故障怎么解决?嘘~偷听一下DLL的对话,你就会明白了。
1.从搬运工谈接口兼容性
在Windows工地上,有一个名叫EXE的包工头,他手下有很多称为DLL的建筑工人。其中有一个专门负责搬运的DLL(暂且称为“搬运工A”),每次需要搬运水泥时,包工头EXE都只要对他喊一声:“来!搬。”
过了一段时间,搬运工A觉得自己的效率太低,于是从原来的每次搬1袋水泥改成了每次搬3袋水泥。改进了搬运方法后,EXE包工头仍然每次只是喊一声:“来!搬。”却不知搬运工A已经改变了搬运的方法。
但又过了一段时间,包工头EXE把搬运工A给辞退了,从别的工地上找来了另一个DLL(暂且称为“搬运工B”)。这个搬运工在别的工地的时候,搬运东西特别快,所以包工头EXE决定把搬运工作给“升级”一下。但真正开始工作时,包工头才发现出了问题……现在不管叫几遍“来!搬。”这个新来的搬运工B都不知道究竟应该搬什么。
上面的例子中,搬运工A改进搬运方法,但EXE调用它的方法仍不变,这就是DLL升级的原理,改进了内部的实现方法,但调用接口不变,这样EXE文件不用跟着升级,就能调用新版本的DLL了。而搬运工B的故事说明,不管新版本的DLL效率多高,如果接口(可以理解为DLL中输出的函数名)与原来的不一致,那么EXE就不知道也无法调用它了。
2.登记身份证的DLL
在系统故障中,有很多都是由于DLL文件没有注册造成的,比如Windows XP的压缩文件夹功能出现故障就很有可能是系统目录中的zipfldr.dll没有注册造成的,这类故障的解决方法也大多是运行如下命令:
regsvr32 DLL文件名
很多人不理解为什么要这么做,是不是所有的DLL都能这样做呢?
其实系统中有两种DLL,一种是不需注册即可使用的,另一种则是必须经过系统登录(即注册)才能使用的。就好像一个临时工,和一个记录在员工名单上的长期合同工的区别一样。如何才能区分这两种DLL呢?方法很简单,用刚才的Depends打开这个DLL,同样是看函数输出表,如果其中包含以下两个函数(前者是注册DLL,后者是反注册DLL),那么就一定是需要注册才能使用的DLL了。
DllRegisterServer
DllUnregisterServer
而regsvr32这个命令,实际上就是调用DLL中的这两个函数(“regsvr32 /u DLL文件名”调用的即为DllUnregisterServer反注册函数)。
3.插件DLL的秘密
Winamp、Foobar 2000等很多软件都具有插件功能,从网上下载一个DLL放在插件目录下就能让程序支持新的功能,这是怎么做到的呢?就拿时下流行的播放软件“千千静听”来举例吧。
“千千静听”的插件目录在该软件安装目录下的Addin子目录下,程序的插件目录一般都会以“Plugins”、“Addin”来命名。在“千千静听”的插件目录中有许多DLL文件,比如tt_asf.dll、tt_rm.dll等,从文件名中就能看出这些DLL是用来让这个播放器支持各种不同类型的音频文件的。同样,用Depends打开这些文件,你就会发现这些文件的输出函数表中都包括一个同样的函数:ttpGetSoundAddIn(见图4)。
图4 千千静听所使用的插件协议
这就是插件的秘密,各种支持插件功能的程序在发布时,都会同时发布一份插件协议,协议中规定了该程序将要调用的插件DLL中必须包含的函数名称及相关的参数规则,然后第三方的插件程序员在编写这个程序的插件时就根据这个插件的标准来编写DLL的输出函数。
①对于插件tt_asf.dll
ttplayer.exe(“千千静听”主程序)对tt_asf.dll说:“我要调用你的ttpGetSoundAddIn函数!”
tt_asf.dll回答:“OK。”
②如果把不相关的DLL放进AddIn目录
ttplayer.exe对未知DLL说:“我要调用你的ttpGetSoundAddIn函数!”
tt_asf.dll回答:“那是什么函数?从来没听说过!”
hide toolz软件中的rootkit是病毒吗,每次一使用它时,360就说有这个木马要攻击
rootkit 是一种很强的后门工具,具有很强的权限,能够隐藏指定的(包括自身)进程名、端口名、注册表名、文件夹内容、远程上传、借用端口等功能,是很好的木马辅助工具,所以也可以说是木马工具。毕竟要通过改写内存的内部参数来实现效果,自然会被360查杀。 但是也不排除你的 rootkit 里面有别人的后门,要小心使用。不放心的话可以去下载“黑客之门”。PS:“hide toolz”意思是 “隐藏 工具”
Backdoor.Win32.Hupigon.rc
您好高正,不用担心;
既然杀毒软件能查出来就一定能杀,所谓杀不了,是因为病毒在运行;正在运行的程序不能修改或删除的。
从新启动,按住F8,进入安全模式,再从安全模式中启动杀毒软件就可以轻松杀毒了。
另外请问您计算机中病毒的位置是不是在:
C:\Documents and Settings\用户名\Local Settings\Temporary Internet Files\
如果是,请照以下方法操作即可删除病毒文件,
1、右击Internet Explorer,选择"属性";
2、在"常规"选项卡中点击"删除文件(F)...";
3、在弹出的对话框中选中"删除所有脱机内容(D)"复选框;
4、单击"确定"按钮即可。
祝您好运。
目前最牛的B远控木马有哪些?
AFXRootkit2005.rar [Bifrost 1.2 d Private]
[Bifrost 1.2.1 稳定中文版] [Darkstrat]
[DRAT] [FinalFantasy Remote Control Beta 1.05]
[FinalFantasy远程协助专业版] [Flux 1.0]
[gh0st1.0] [Hav_Rat_1.2_Private]
[Hiddukel VII] Hide_Horse.rar
IP发送者 v1.5.rar MagicStarterInv.zip
[NoResume 1.0 暗组特约版] [NR2.1.0]
[NS_20080125VIP] [Outbreak_0.3.0]
[PaiN RAT 0.1 Beta 9] [PcShare 2.0]
[PcShare0920暗组免费版] [PoisonIvy]
[Radmin3.2影子版] [SClient]
[Slh 5.0.1H] [TB暗夜精灵汉化版]
[Teamviewer.v3.5.3922.chs] TechKiller1.2SE中文版.rar
[TGA_Backdoor_3.0汉化版] [UAManager]
[VNC] [X-Door[F335]]
[小牛远控1.1发行版] [极光2009本地版]
[灰鸽子远程控制黑客手册专版] [灰鸽子黑防And2.03暗组专版]
灰鸽子黑防专版.rar 黑客之门(hackers door) 1.2 版.rar
列表复制出来了。
电脑中了BACKDOOR怎么办
中了病毒、木马不要着急,我来帮你:
我的方法是总结的前辈们的经验,所以可以放心使用,同时也感谢他们!!!
其实中毒后的处理方法就是那么几种,但是借助杀毒软件用手工方法处理是最为
有效的!!!!
木马的查杀,可以采用自动和手动两种方式。最简单的删除木马的方法是安装杀
毒软件(自动),现在很多杀毒软件能删除网络最猖獗的木马,建议安装金山毒霸
或安全之星XP,它们在查杀木马方面很有一套!
由于杀毒软件的升级多数情况下慢于木马的出现,因此学会手工查杀非常必要。
方法是:
1.)检查注册表
看HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curren Version和
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下,所有
以“Run”开头的键值名,其下有没有可疑的文件名。如果有,就需要删除相应的
键值,再删除相应的应用程序。
2.)检查启动组
木马们如果隐藏在启动组虽然不是十分隐蔽,但这里的确是自动加载运行的好场
所,因此还是有木马喜欢在这里驻留的。启动组对应的文件夹为:C:\windows\
start menu\programs\startup,在注册表中的位置:HKEY_CURRENT_USER\
Software\Microsoft\Windows\CurrentVersion\Explorer\Shell
Folders Startup="C:\windows\start menu\programs\startup"。要注意经
常检查这两个地方哦!
3.)Win.ini以及System.ini也是木马们喜欢的隐蔽场所,要注意这些地方
比方说,Win.ini的[Windows]小节下的load和run后面在正常情况下是没有跟什么
程序的,如果有了那就要小心了,看看是什么;在System.ini的[boot]小节的
Shell=Explorer.exe后面也是加载木马的好场所,因此也要注意这里了。当你看
到变成这样:Shell=Explorer.exe wind0ws.exe,请注意那个wind0ws.exe很有可
能就是木马服务端程序!赶快检查吧。
4.)对于下面所列文件也要勤加检查,木马们也很可能隐藏在那里
C:\windows\winstart.bat、C:\windows\wininit.ini、Autoexec.bat。
5.)如果是EXE文件启动,那么运行这个程序,看木马是否被装入内存,端口是否
打开。如果是的话,则说明要么是该文件启动木马程序,要么是该文件捆绑了木
马程序,只好再找一个这样的程序,重新安装一下了。
6.)万变不离其宗,木马启动都有一个方式,它只是在一个特定的情况下启动
所以,平时多注意一下你的端口,查看一下正在运行的程序,用此来监测大部分
木马应该没问题的。
另外,你也可以试试用下面的办法来解决:
从网上下一个叫“冰刃”的软件。这是一个绿色免安装的小软件,可以放心使用
。
这个是下载地址。
这个是它的详细用法。
一般来说,不管是木马、病毒进入我们的机器后都是“三隐”的即隐进程、隐服
务、隐文件的,利害的能将杀毒软件有实时监控给杀死!但在这个冰刃里,它是
无法遁身的。开启的非法进程会以红色显示出来。
至于杀毒软件,应该说各人有各人的喜好,下面给出的链接上你看看比较一下:
六款主流杀毒软件横向评测
消费者该如何选择?六款杀毒软件横向评测(这个要详细些)