1， 添加一个新的组，在组里添加服务名
2， 在现有组里添加服务名
3， 直接使用现有组里的一个服务名，但是本机没有安装的服务
4， 修改现有组里的现有服务，把它的ServiceDll指向自己的DLL后门
我测试的PortLess BackDoor使用的第三种方法。
好了，我想大家看完了上边的原理，一定可以想到我们清除PortLess BackDoor的方法了，对，就是在注册表的Svchost键下做文章。好，我们现在开始。
注：由于本文只是介绍清除方法，使用方法在此略过。
后 门的Loader把SvchostDLL.dll插入Svchost进程当中，所以，我们先打开Windows优化大师中的Windows进程管理 2.5，查看Svchost进程中的模块信息（如图3），从图3中我们可以看到，SvchostDLL.dll已经插入到Svchost进程中了，在根据 “直接使用现有组里的一个服务名，但是本机没有安装的服务”的提示，我们可以断定，在“管理工具”—“服务”中会有一项新的服务。图4证明了我的说法，此 服务名称为：IPRIP，由Svchost启动，-k netsvcs表示此服务包含在netsvcs服务组中。

我们把该服务停掉，然后打开 注册表编辑器（开始—运行--regedit），来到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\IPRIP下，查看其Parameters子键（如图5）。Program键的键值SvcHostDLL.exe为后门的 Loader；ServiceDll的键值C:\WINNT\system32\svchostdll.dll为调用的DLL文件，这正是后门的DLL文 件。现在我们删除IPRIP子键（或者用SC来删除），然后在来到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows NT\CurrentVersion\Svchost下，编辑netsvcs服务组，把49 00 70 00 72 00 69 00 70 00 00 00删除，这里对应的就是IPRIP的服务名，具体如图6所示。然后退出，重启。重启之后删除WINNT\system32目录下的后门文件即可。
2，BITS.dll
这 是榕哥的作品，也是DLL后门，和SvchostDLL.dll原理基本一样，不过这里使用的是上边介绍的第四种方法，即“修改现有组里的现有服务，把它 的ServiceDll指向自己的DLL后门”。换句话说，该后门修改现有的某一个服务，把其原有服务的DLL指向自己（也就是BITS.dll），这样 就达到了自动加载的目的；其次，该后门没有自己的Loader，而是使用系统自带的Rundll32.exe来加载。我们还是用Windows 进程管理2.5来查看，从图7中，我们可以看到bits.dll已经插入到Svchost进程当中。
好，现在我们来看看具体的清除方法，由于 该后门是修改现有服务，而我们并不知道具体是修改了哪个服务，所以，在注册表中搜索bits.dll，最后在HKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\Services\RasAuto下搜索到了bits.dll，查看Parameters子键下的 ServiceDll，其键值为C:\WINNT\system32\bits.dll（如图8）。原来，该后门把RasAuto服务原来的DLL文件替 换为bits.dll了，这样来实现自动加载。知道了原因就好办了，现在我们把ServiceDll的键值修改为RasAuto服务原有的DLL文件，即 %SystemRoot%\System32\rasauto.dll，退出，重启。之后删除WINNT\system32目录下的bits.dll即 可。
3，NOIR--QUEEN
NOIR--QUEEN(守护者)是一个DLL后门&木马程序，服务端以DLL文件的形式插入到系统的Lsass.exe进程里，由于Lsass.exe是系统的关键进程，所以不能终止。在来介绍清除方法之前，我先介绍一下Lsass.exe进程：
这是一个本地的安全授权服务，并且它会为使用Winlogon服务的授权用户生成一个进程，如果授权是成功的，Lsass就会产生用户的进入令牌，令牌使用启动初始 的Shell。其他的由用户初始化的进程会继承这个令牌。
从上边的介绍我们就可以看出Lsass对系统的重要性，那具体怎么清除呢？请看下文。
后 门在安装成功后，会在服务中添加一个名为QoSserver的服务，并把QoSserver.dll后门文件插入到Lsass进程当中，使其可以隐藏进程 并自动启动（如图9）。现在我们打开注册表，来到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\QoSserver，直接删除QoSserver键，然后重启。重启之后，我们在来到服务列表中，会看到QoSserver服务还在， 但没有启动，类别是自动，我们把他修改为“已禁用”；然后往上看，会发现一个服务名为AppCPI的服务，其可执行程序指向QoSserver.exe （原因后边我会说到），具体如图11所示。我们再次打开注册表，来到HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Services\AppCPI，删除AppCPI键，重启，再删除QoSserver，最后删除WINNT\ system32目录下的后门文件。

本站资源均具有时效性 更多相关免费资源敬请关注我们