本人和这个后门“搏斗”了3个多小时，重启N次。原因在于即使删除了QoSserver服务，后门还是在 运行，而且服务列表中的QoSserver服务又“死灰复燃”。后来才知道原因：在我删除了QoSserver服务并重启之后，插入到Lsass进程当中 的QoSserver.dll文件又恢复了QoSserver服务，并且生成了另外一个服务，即AppCPI，所以我们必须在到注册表中删除AppCPI 服务才算是把该后门清除。由此可以看出，现在的后门的保护措施，真是一环扣环。
注意：在删除QoSserver服务并重启之后，恢复的QoSserver的启动类别要修改为“已禁用”，否则即便删除了AppCPI服务，QoSserver服务又运行了。

三，DLL的防范
看 了上边的例子，我想大家对清除DLL后门的方法有了一定的了解，但在现实中，DLL后门并不会使用默认的文件名，所以你也就不能肯定是否中了DLL后门。 对于DLL后门，system32目录下是个好地方，大多数后门也是如此，所以这里要非常注意。下面我来具体介绍一下怎么发现DLL后门，希望对大家有所 帮助。
1，安装好系统和所有的应用程序之后，备份system32目录下的EXE和DLL文件：打开CMD，来到WINNT\ system32目录下，执行：dir *.exe>exe.txt & dir *.dll>dll.txt，这样，就会把所有的EXE和DLL文件备份到exe.txt和dll.txt文件中；日后，如发现异常，可以使用相同 的命令再次备份EXE和DLL文件(这里我们假设是exe0.txt和dll0.txt)，并使用：fc exe.txt exe0.txt>exedll.txt & fc dll.txt dll0.txt>exedll.txt，其意思为使用FC命令比较两次的EXE文件和DLL文件，并将比较结果保存到exedll.txt文件 中。通过这种方法，我们就可以发现多出来的EXE和DLL文件，并通过文件大小，创建时间来判断是否是DLL后门。
2，使用内存/模块工具来 查看进程调用的DLL文件，比如Windows优化大师中的Windows 进程管理 2.5。这样，可以发现进程到底调用了什么DLL文件，在结合上边用FC命令比较出来的结果，又能进一步来确定是否中了DLL后门。如果没有优化大师，可 以使用TaskList，这个小工具也可以显示进程调用的DLL文件，而且还有源代码，方便修改。
3，普通后门连接需要打开特定的端口， DLL后门也不例外，不管它怎么隐藏，连接的时候都需要打开端口。我们可以用netstat –an来查看所有TCP/UDP端口的连接，以发现非法连接。大家平时要对自己打开的端口心中有数，并对netstat –an中的state属性有所了解。当然，也可以使用Fport来显示端口对应的进程，这样，系统有什么不明的连接和端口，都可以尽收眼底。
4， 定期检查系统自动加载的地方，比如：注册表，Winstart.bat，Autoexec.bat，win.ini，system.ini， wininit.ini，Autorun.inf，Config.sys等。其次是对服务进行管理，对系统默认的服务要有所了解，在发现有问题的服务时， 可以使用Windows 2000 Server Resource Kit中的SC来删除。以上这些地方都可以用来加载DLL后门的Loader，如果我们把DLL后门Loader删除了，试问？DLL后门还怎么运行？！
通过使用上边的方法，我想大多数DLL后门都可以“现形”，如果我们平时多做一些备份，那对查找DLL后门会启到事半功倍的效果。
后记
本文详细的介绍了DLL后门的一些知识。其实，从上文中不难看出，DLL后门并没有想象的这么可怕，清除起来也比较简单。在文章中的开头我以说到：旨在能让大家对DLL后门“快速上手”，所以，希望这篇拙文能对大家有所帮助，文中如有错误，还请大家多多包涵，谢谢！

本站资源均具有时效性 更多相关免费资源敬请关注我们