提示：
在WINNT\system32 目录下，有一个dllcache文件夹，里边存放着众多DLL文件（也包括一些重要的EXE文件），在DLL文件被非法修改之后，系统就从这里来恢复被修 改的DLL文件。如果要修改某个DLL文件，首先应该把dllcache目录下的同名DLL文件删除或更名，否则系统会自动恢复。
(3)，动态嵌入式
这 才是DLL后门最常用的方法。其意义是将DLL文件嵌入到正在运行的系统进程当中。在Windows系统中，每个进程都有自己的私有内存空间，但还是有种 种方法来进入其进程的私有内存空间，来实现动态嵌入式。由于系统的关键进程是不能终止的，所以这类后门非常隐蔽，查杀也非常困难。常见的动态嵌入式有： “挂接API”“全局钩子（HOOK）”“远程线程”等。

远程线程技术指的是通过在一个进程中创建远程线程的方法来进入那个进程的内存地址空 间。当EXE载体（或Rundll32.exe）在那个被插入的进程里创建了远程线程，并命令它执行某个DLL文件时，我们的DLL后门就挂上去执行了， 这里不会产生新的进程，要想让DLL后门停止，只有让这个链接DLL后门的进程终止。但如果和某些系统的关键进程链接，那就不能终止了，如果你终止了系统 进程，那Windows也随即被终止！！！
3，DLL后门的启动特性
启动DLL后门的载体EXE是不可缺少的，也是非常重要的，它 被称为：Loader。如果没有Loader，那我们的DLL后门如何启动呢？因此，一个好的DLL后门会尽力保护自己的Loader不被查杀。 Loader的方式有很多，可以是为我们的DLL后门而专门编写的一个EXE文件；也可以是系统自带的Rundll32.exe，即使停止了 Rundll32.exe，DLL后门的主体还是存在的。3721网络实名就是一个例子，虽然它并不是“真正”的后门。
二，DLL的清除
本 节以三款比较有名的DLL后门例，分别为“SvchostDLL.dll”“BITS.dll”“QoServer.dll”。详细讲解其手工清除方法。 希望大家在看过这三款DLL后门的清除方法之后，能够举一反三，灵活运用，在不惧怕DLL后门。其实，手工清除DLL后门还是比较简单的，无非就是在注册 表中做文章。具体怎么做，请看下文。
1，PortLess BackDoor
这是一款功能非常强大的DLL后门程序，除了可以获得 Local System权限的Shell之外，还支持如“检测克隆帐户”“安装终端服务”等一系列功能（具体可以参见程序帮助），适用 Windows2000/xp/2003等系统。程序使用svchost.exe来启动，平常不开端口，可以进行反向连接（最大的特点哦），对于有防火墙 的主机来说，这个功能在好不过了。
在介绍清除方法之前，我们先来简单的介绍一下svchost.exe这个系统的关键服务：
Svchost 只是做为服务的宿主，本身并不实现什么功能，如果需要使用Svchost来启动服务，则某个服务是以DLL形式实现的，该DLL的载体Loader指向 svchost，所以，在启动服务的时候由svchost调用该服务的DLL来实现启动的目的。使用svchost启动某个服务的DLL文件是由注册表中 的参数来决定的，在需要启动服务的下边都有一个Parameters子键，其中的ServiceDll表明该服务由哪个DLL文件负责，并且这个DLL文 件必须导出一个ServiceMain()函数，为处理服务任务提供支持。
呵呵！看了上边的理论，是不是有点蒙（我都快睡着了），别着急，我 们来看看具体的内容（如图1）。从图1中，我们可以看到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\RpcSs下的Parameters子键，其键值为%SystemRoot%\system32\rpcss.dll。这就说明：启动 RpcSs服务时。Svchost调用WINNT\system32目录下的rpcss.dll。
在来看看图2，这是注册表的 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost，里边存放着Svchost启动的组和组内的各个服务，其中netsvcs组的服务最多。要使用 Svchost启动某个服务，则该服务名就会出现在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost下。这里有四种方法来实现：

本站资源均具有时效性 更多相关免费资源敬请关注我们