——当然了,DLL木马不一定都注入到“iexplorer.exe”进程中,也可能注入到其它进程中。但是这些木马绝大部份是通过80、8080或8181等几个端口反弹连接的,因此通过江民防火墙检测网络连接时,只要足够细心,都可以找出DLL木马隐身的宿主进程。特别是发现“Windows Explorer”进程连接网络端口时,基本上可以肯定是中了DLL木马(如图),因为此进程是资源管理器的,不可能连接网络。
找到木马宿主进程后,这里以“iexplorer.exe”进程为假设,在KV2007中,点击菜单“工具”→“进程查看器”,打开进程查看器对话框
在其中找到“iexplorer.exe”进程,右键点击该进程后,在弹出菜单中选择“模块列表”命令,打开模块列表就可以检查该进程中的模块是否安全、是否有DLL木马注入其中
开发杀毒软件潜能 彻底清除DLL注入木马[图文](2)
内容版权声明:除非注明,否则皆为本站原创文章。