dll,exe病毒程序是怎么运作的?
发布时间:2022-04-28 10:19:52 所属栏目:安全 来源:互联网
导读:[原理] dll文件也叫动态链接程序库。当exe程序运行时,会同时调用很多dll文件来实现扩展功能。此时如果木马对dll映像实施劫持,对系统文件或其他程序进行恶意的注入,就可以达到窃取机密文件、篡改系统关键位置、隐藏自身等目的。因此dll木马可以称作注入型
|
[原理] dll文件也叫动态链接程序库。当exe程序运行时,会同时调用很多dll文件来实现扩展功能。此时如果木马对dll映像实施劫持,对系统文件或其他程序进行恶意的注入,就可以达到窃取机密文件、篡改系统关键位置、隐藏自身等目的。因此dll木马可以称作注入型木马,也可以叫映像劫持木马。 [特点] 可以将任何一种病毒做成dll型,著名的极光病毒就是一个集成性质的蠕虫。具有极高的免杀性,隐蔽能力强。反杀毒软件的效率较高。再生能力强,一般情况下重装系统无法清除。除常规感染外,还可以注入到rar等其他文件中。 [各种常见加载方式] 1.利用系统中的rundll32.exe加载。这是指将木马只做成一个DLL文件,在注册表Run键值或其他可以被系统自动加载的地方,使用Rundll32.exe来自动启动。 2.替换系统中的DLL文件。它把实现了后门功能的代码做成一个和系统匹配的DLL文件,并把原来的DLL文件改名。遇到应用程序请求原来的DLL文件时,DLL后门就启一个转发的作用,把"参数"传递给原来的DLL文件;如果遇到特殊的请求时,DLL后门就开始启动并运行。 二、exe类可直接执行木马病毒 [原理] 这个不能笼统地说什么原理。任何一款木马病毒都可以做成exe型,不同的exe木马原理不同,功能也不同。 [特点] 直接以exe文件出现。常常会进行加壳加花等免杀处理,以及外观伪装。常常与各种正常软件捆绑在一起,或者伪装成正常的软件。运行后不会有任何迹象,除非被杀软发现。如果免杀不当,容易被主动防御截获。由于是可执行文件,隐蔽能力不强。一般情况下,exe型木马主要用来盗号或作为间谍软件,也有可能充当下载者。其实dll病毒充当下载者,再下载exe木马,是一种常见搭配。 [各种常见运行方式] 这个真的不好说。exe只是一种形式。毕竟不同木马原理不同,.exe不能用来分类木马。当然,常用的是,可以挂钩到常见软件来激活运行,也可以加载到注册表。除此之外,欺骗用户人为点击是目前最常用的方法。 (编辑:江门站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐