手动杀毒专题（黑防VIP）

手动杀毒专题（黑防VIP）

大家觉得好就鼓励下我啊~~~ 不回帖的请离开！~
手动杀毒专题！
现在在QQ上提问，中了毒以后怎么办。其实中毒以后的解决办法只有几种
1..杀毒软件杀，有时可能一种杀毒软件没查出了，你可以下个另外版本的杀毒软件试试。或找专杀工具试试
2.手动查毒，这个比较麻烦。在QQ上问的人也多，但一两句也回答不清楚，而且还要具体情况具体分析。
3.这也是最不愿意的结果，那就是重装系统了，有些病毒会感染EXE文件，用杀毒杀有时也会很麻烦，一但没有杀干净。病毒依然存在。
我给大家找了几篇关于手动杀毒的文章，希望对你手动杀毒有所帮助。
手工清除灰鸽子并不难，重要的是我们必须懂得它的运行原理。
G_Server.exe运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录，2k/NT下为系统盘的Winnt目录)，然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端，有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。注意，G_Server.exe这个名称并不固定，它是可以定制的，比如当定制服务端文件名为A.exe时，生成的文件就是A.exe、A.dll和A_Hook.dll。
Windows目录下的G_Server.exe文件将自己注册成服务（9X系统写注册表启动项），每次开机都能自动运行，运行后启动G_Server.dll和G_Server_Hook.dll并自动退出。G_Server.dll文件实现后门功能，与控制端客户端进行通信；G_Server_Hook.dll则通过拦截API调用来隐藏病毒。因此，中毒后，我们看不到病毒文件，也看不到病毒注册的服务项。随着灰鸽子服务端文件的设置不同，G_Server_Hook.dll有时候附在Explorer.exe的进程空间中，有时候则是附在所有进程中。
灰鸽子的手工检测
由于灰鸽子拦截了API调用，在正常模式下木马程序文件和它注册的服务项均被隐藏，也就是说你即使设置了“显示所有隐藏文件”也看不到它们。此外，灰鸽子服务端的文件名也是可以自定义的，这都给手工检测带来了一定的困难。
但是，通过仔细观察我们发现，对于灰鸽子的检测仍然是有规律可循的。从上面的运行原理分析可以看出，无论自定义的服务器端文件名是什么，一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点，我们可以较为准确手工检测出灰鸽子木马。
由于正常模式下灰鸽子会隐藏自身，因此检测灰鸽子的操作一定要在安全模式下进行。进入安全模式的方法是：启动计算机，在系统进入Windows启动画面前，按下F8键(或者在启动计算机时按住Ctrl键不放)，在出现的启动选项菜单中,选择“Safe Mode”或“安全模式”。
1、由于灰鸽子的文件本身具有隐藏属性，因此要设置Windows显示所有文件。打开“我的电脑”，选择菜单“工具”—>“文件夹选项”，点击“查看”，取消“隐藏受保护的操作系统文件”前的对勾，并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”，然后点击“确定”。


此主题相关图片如下：

2、打开Windows的“搜索文件”，文件名称输入“_hook.dll”，搜索位置选择Windows的安装目录（默认98/xp为C:/windows，2k/NT为C:/Winnt）。

此主题相关图片如下：


3、经过搜索，我们在Windows目录（不包含子目录）下发现了一个名为Game_Hook.dll的文件。

此主题相关图片如下：

4、根据灰鸽子原理分析我们知道，如果Game_Hook.DLL是灰鸽子的文件，则在操作系统安装目录下还会有Game.exe和Game.dll文件。打开Windows目录，果然有这两个文件，同时还有一个用于记录键盘操作的GameKey.dll文件。



此主题相关图片如下：

经过这几步操作我们基本就可以确定这些文件是灰鸽子木马了，下面就可以进行手动清除。

灰鸽子的手工清除

经过上面的分析，清除灰鸽子就很容易了。清除灰鸽子仍然要在安全模式下操作，主要有两步：1、清除灰鸽子的服务；2删除灰鸽子程序文件。

注意：为防止误操作，清除前一定要做好备份。

一、清除灰鸽子的服务

2000／XP系统：

1、打开注册表编辑器（点击“开始”－》“运行”，输入“Regedit.exe”，确定。），打开 HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services注册表项。

2、点击菜单“编辑”－》“查找”，“查找目标”输入“game.exe”，点击确定，我们就可以找到灰鸽子的服务项（此例为Game_Server）。


此主题相关图片如下：

3、删除整个Game_Server项.

98／me系统：

在9X下，灰鸽子启动项只有一个，因此清除更为简单。运行注册表编辑器，打开HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run项，我们立即看到名为Game.exe的一项，将Game.exe项删除即可。


此主题相关图片如下：

二、删除灰鸽子程序文件

删除灰鸽子程序文件非常简单，只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件，然后重新启动计算机。至此，灰鸽子已经被清除干净。

还有其他的手动杀毒的方法
杀毒过程总结，可作为下次中毒时的参考：
１、发现中了ＱＱ病毒时记住千万不要再登陆ＱＱ。
２、立即重启动电脑。如果你的电脑系统是Win98，可以在开机时先进入DOS方式，进入Win98的Windows目录，执行edit system.ini<回车>，查找[boot]项下面的“shell=”的内容是否为“shell=Explorer.exe”，如果不是将其改回，然后保存退出。执行edit win.ini，查找[windows]项下面的“load=”和“run=”是否为空，如果不是将其后面的清除并保存退出。执行win /d:m进入Win98的安全模式，运行注册表编辑程序或者运行系统配置实用程序，将其中多余的启动程序删除或屏蔽，保存退出并重新启动计算机进入正常模式即可。为了安全和保险起见，此时请运行杀毒软件对整个硬盘彻底杀毒或者进行在线杀毒，以便彻底清除病毒残留文件。本方法经本人试验通过，已经将ＱＱ病毒成功清除！！
３、如果你的电脑系统是Win2000和WinXP，那么先告诉你一个坏消息，在这种系统中清除病毒比较麻烦！（清先不要紧张啊^o^）不过办法也不是没有啊！还是参考上面的方法重新启动电脑，进入安全模式，编辑system.ini和win.ini文件，同样是查找system.ini文件中的[boot]项下面的“shell=”的内容是否为“shell=Explorer.exe”，如果不是同样将其改回，然后保存退出。查找[windows]项下面的“load=”和“run=”是否为空，如果不是将其后面的清除并保存退出。运行注册表编辑程序或者运行系统配置实用程序，将其中多余的启动程序删除或屏蔽，保存退出并重新启动计算机进入正常模式即可。同样，请运行杀毒软件将病毒残留文件彻底清除。
４、对于中毒时任务栏出现的还原精灵图标，经分析病毒文件和总结杀毒经验，应该是针对网吧安装有还原精灵的情况的一个破解程序，其目的就是将系统安装的还原精灵破解，并自动设置还原精灵为更新保存的硬盘数据的状态，有利于病毒的更广泛的传播。本信息来源于一次在网吧上机，发现电脑自动保存了还原精灵的备份数据，进入系统后才知道系统已经保存有病毒了。对于这种情况，本人建议：在做病毒的手动清除之前，请先将还原精灵完全卸载，卸载时选择还原或者保留均可，然后再进行手动清除病毒的工作，在做完了病毒的手动清除并已经将病毒残留文件也清除后，再重新安装还原精灵并做好硬盘数据的保存工作。
分析进程，手动杀毒

简单地说，进程是程序在计算机上的一次执行活动。当你运行一个程序，你就启动了一个进程。进程又分为系统进程和用户进程。系统进程主要用于完成操作系统的功能，而QQ、Foxmail等应用程序的进程就是用户进程。
进程的重要性体现在可以通过观察它，来判断系统中到底运行了哪些程序，以及判断系统中是否入驻了非法程序。正确地分析进程能够帮助我们在杀毒软件不起作用时，手动除掉病毒或木马。
瞭望进程
如何知道系统中目前有哪些进程？在Windows98/Me/2000/XP/2003中，按下“Ctrl+Alt+Delete”组合键就可以直接查看进程，或打开“Windows 任务管理器”的“进程”选项来查看进程。通常来说，系统常见的进程有winlogon.exe，services.exe，explorer.exe，svchost.exe等。要熟悉进程，首先就要熟悉最常见的系统进程，这样当发现其它奇怪的进程名（如HELLO，GETPASSWORD，WINDOWSSERVICE等等）时就方便判断了。
常规杀灭进程法
1.有的进程在进程选项中无法删除，这时可以打开注册表编辑器（在“开始→运行”中键入regedit），找到“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”下面的键，将可疑的选项删除。
2.另外，还可以通过系统的“管理工具”里面的“服务”查看目前的全部进程。这里重点要看服务中启动选项为“自动”的那部分进程，检查它们的名字、路径以及登录账户、服务属性的“恢复“里面有没有重启计算机的选项（有些机器不断属性的重新启动的秘密就在这里）。一旦发现可疑的名字需要马上禁止此进程的运行。
而要彻底删除这些程序进程可以用下面的办法：
打开注册表编辑器,展开分支“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices”,在右侧窗格中显示的就是本机安装的服务项，如果要删除某项服务，只要删除注册表中相关键值即可。
3.除了上面两种方法，我们还可以先查看这个进程文件所在的路径和名称。重启系统，按F8键进入安全模式，然后在安全模式下删除这个程序。
这里，笔者编写了容易被大家认出来的非法进程服务（系统进程）举例说明：HELLO-WORLD SERVICE 1。我们可以轻松地在进程列表和“服务”中找到它。根据上面的方法，我们可以把这个进程杀掉或禁用。
不少病毒和木马是以用户进程的形式出现的，所以大部分人认为“病毒是不可能获得‘SYSTEM’权限的”。其实，这是个错误的想法，很多病毒或木马也能获得SYSTEM权限，并伪装成系统进程出现在你面前。所以这类病毒就相当容易迷惑人，遇到这种情况，只有不断提高并关注系统安全方面的知识，才能准确判断该进程是否安全。

QQ聊天病毒之通杀技法
QQ的广泛使用，使得以QQ为平台的病毒在网络中肆意横行，在下面我就来看看常见的几种QQ病毒的特征及其清除方法。

　　QQ的广泛使用，使得以QQ为平台的病毒在网络中肆意横行，在下面我就来看看常见的几种QQ病毒的特征及其清除方法。
　　小心“武汉男生”木马病毒
　　病毒名称："武汉男生"（Troj_WHBoy）
　　病毒种类：木马
　　感染系统：Windows 95/98/Me/NT/2000/XP
　　病毒特性：
　　该病毒通过聊天软件Oicq进行传播。当计算机被该病毒感染后，用户一旦运行了QQ，病毒就会不断搜寻当前已经打开的QQ"发送消息"窗口，并在找到"发送消息"窗口后，自动发送一条消息到其他用户那里，"我的相片..看看..（某网站网址）"，一旦收到此消息的得用户点击了该网站的链接，就遭受了病毒的感染。
　　病毒运行后在系统目录下生成三个病毒文件，分别为ABCHELP.EXE，WINhelp32.exe和DirectX.exe，其中后2个文件的属性是隐含的。（系统目录在Windows 9x/Me下为C:WindowsSystem，在Windows NT/2000下为 C:WINNTSystem32，在Windows XP下为 C:WindowsSystem32）
　　病毒修改注册表，使病毒能随系统启动而自动运行。
　　在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下生成run = "WINhelp32.exe"
　　在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices下生成（default）= "abchelp.exe"
　　广大用户应及时升级杀毒软件，启动"实时监控"系统，在使用OICQ聊天时也要意，不要轻易打开任何链接，以免遭受病毒的感染。
　　清除病毒的相关操作
　　1、删除病毒在系统目录下释放的病毒文件
　　2、删除病毒在注册表下生成的键值
　　3、运行杀毒软件，对病毒进行全面清除
　　防范病毒使用杀毒软件有五大禁忌
　　（一）忌偷懒不升级
　　（二）忌忽略对邮件的保护
　　（三）忌疏忽设置各项功能
　　（四）忌轻信网络的安全性
　　（五）忌轻视数据备份
爱情森林
爱情森林的清除：
　　(1)先打开任务管理器，结束掉位于下面的那个Explorer进程，然后删除系统目录下的木马程序Explorer.exe。或者重新启动到DOS下到system目录直接删除该木马程序。
　　(2)打开注册表编辑器，删除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下名为Explorer的键值。
　　2、变种一的清除：
　　(1)打开任务管理器，结束掉RUNDLL和SYSEDIT32进程。
　　(2)删除系统文件夹(Win9x通常为Windowssystem,WinNt通常为WinNtsystem32)下名为RUNDLL.exe和sysedit32.exe的文件（文件大小为1781752字节）。
　　(3)打开注册表编辑器，删除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下名为intarnet=%windowssystem%rundll.exe"的键值。恢复HKEY_CLASSES_ROOTtxtfileshellopencommand的默认键值为Notepad %1。(其中%windowssystem%为Windows的系统文件夹)
　　(4)若根目录下存在文件setup.txt或mima.txt,将其删除。
　　3、变种二的清除：
　　(1)打开任务管理器，结束掉位于下面的那个Explorer进程，然后删除系统目录下的木马程序Explorer.exe。或者重新启动到DOS下到system目录直接删除该木马程序。
　　(2)打开注册表编辑器，删除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下名为Explorer的键值。
　　4、变种三的清除：
　　(1)打开任务管理器，结束掉RUNDLL和SYSEDIT32进程。
　　(2)删除系统文件夹(Win9x通常为Windows/system,WinNt通常为WinNt/system32)下名为RUNDLL.exe和sysedit32.exe的文件（文件大小为1781752字节）。
　　(3)打开注册表编辑器，删除HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run下名为intarnet=%windowssystem%/rundll.exe"的键值。恢复HKEY_CLASSES_ROOT/txtfile/shell/open/command的默认键值为Notepad %1。(其中%windowssystem%为Windows的系统文件夹)
　　(4)恢复IE的设置。打开注册表编辑器，恢复HKEY_LOCAL_MACHINE/Software/Microsoft/Internet Explorer/Main/Start Page，HKEY_LOCAL_MACHINE/Software/Microsoft/Internet Explorer/Main/Default_Page_URL，HKEY_LOCAL_MACHINE/Software/Microsoft/Internet Explorer/Main/Local Page的设置为原来的内容。
5、变种四的清除：
　　(1)先打开任务管理器，结束掉位于下面的那个Explorer进程，然后删除系统目录下的木马程序Explorer.exe。或者重新启动到DOS下到system目录直接删除该木马程序。
　　(2)打开注册表编辑器，删除HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run下名为Explorer的键值
　　相关杀毒软件下载地址：
　　QQ消息发送机病毒专杀工具
　　http://user.net163.com/piao/down/down.asp?id=962&;no=1
　　金山专杀工具的下载
　　http://gz3.duba.net/kpub/source/down.php?id=20 ;
　　SCKISS爱情森林专杀,可以完全查杀全部5个变种
　　_SCKiss.EXE">ftp://gz.duba.net/download/othertools/Duba_SCKiss.EXE ;
　　“狩猎者”专杀工具
　　http://gz3.duba.net/kpub/source/dow...=gz&;t=ftp&id=38
　　删除QQ“缘”病毒
　　平时我很少去看类示的东西，但因为是很要好的朋友所以也觉得挺希奇的然后就点进进入了，进入的画面如下：
　　点击进入后会自动提示下载名为Book.exe的程序。
　　我立即点击"打开"运行了程序，运行后并没有想象中的电子图书出现，而IE又自动打开了两个网页。我马上意识到肯定是一个病毒程序了。
　　之后我点击QQ上的朋友联系，但QQ马上自动发送上面的那段代码。(我晕)而且每当有好友给我发信息系统都会自动回复那段话。(不幸的是我的好几个朋友也由于相信我运行了它).结果招来一堆朋友的臭骂。
　　中招了当然就得修复了，以前也不是没有碰到过这样的事情(IE,启动而被改是常有的事)。可到瑞星，金山下载QQ专用删除工具都无果，使用超级兔子也不行。修改了注册个后重启机器毛病依旧。后来使用了下面的办法将其彻底删除。
　　找到下列文件[假定你系统装在C:][我的系统是Win xp]{建议你在C:盘查找 NotePed.exe 注释: NotePad.exe才是Window文本编辑器}
　　C:windowssystem oteped.exe
　　C:windowssystemTaskmgr.exe
　　C:Windows oteped.exe
　　C:Windwossystem32 oteped.exe
　　删除掉:其中Taskmgr.exe 要先打开"window 任务管理器",选中进程"Taskmgr.exe",杀掉
　　注意:有两个名字叫"Taskmgr.exe"进程,一个是QQ病毒,一个是你刚才打开的"Window 认为管理器"
　　然后到注册表中找到"HKey_Local_MachinesoftwareMicrosoftwindowsCurrentVersionRun"
　　找到"Taskmgr" 删除
　　如果你还不明白那请你先找到那几个文件，然后再按下面的图例操作:
　　1.在任务栏上点击鼠标右键，选择任务管理器
　　2.选择进程里的Taskmgr.exe，但我后来又测试也进行名称不一定是大写的，也有可能是小写，一般排在上面的一个是。
　　3.点击开始-运行，输入Regedit进入注册表
　　4.在注册表中找到 "HKey_Local_MachinesoftwareMicrosoftwindowsCurrentVersionRun，将Taskmgr"项删除"。
　　删除后重启计算机，《缘》QQ病毒宣布彻底删除。
　　另外提醒大家，尽快更新你的IE到IE6 SP1 这样可以减少很多的IE被改机会。





PcShare,PcClient后门手工解决方案
Backdoor/PcShare.ch木马运行后，在系统盘的驱动目录下生成病毒驱动文件Ywvpysxl.sys，我的系统盘在c盘，这个文件的路径为C:/WINDOWS/system32/drivers/下面，并在C:/WINDOWS/system32/目录下生成文件Ywvpysxl.d1l,注意这个后缀不是dll，它中间那个是数字1，而不是字母l。注册表中还有相关键值，保证了每次启动时驱动都能够被加载，甚至是在安全模式下d1l也能够被运行。因此安全模式下不借助工具该病毒也无法被清除。
打开工具IceSword，在pluto1313版主的网络优盘中有下，点击进程图标，会看到有红色的进程浏览器Iexplorer在运行，表明它是一个隐藏进程。不要试图结束它，没有用的。再点击SSDT图标，查看其中红色的被修改的服务地址，在我做试验的这台机器上如下图所示，病毒hook了显示注册表和遍历进程的函数地址，因此普通的进程查看软件无法看到它。但是IceSword可以看到。这个原理就不说了。
准备工具：KillFiles（同样到上面版主的空间去下），最好放到桌面以方便运行。
下面介绍一种比较安全的方式来清除该病毒，重启计算机进入安全模式。
1.进入C:/WINDOWS/system32/drivers/下面，删除Ywvpysxl.sys文件。
2.运行上面提到的KillFiles工具，在文件名对话框中输入Ywvpysxl.d1l，注意这个后缀中间是数字1，最后一个是字母l，一个都不要输错，否则会找不到该文件，确保上面的单选框为"直接删除",点击确定就可以了，如果删除成功，会弹出提示"文件已被成功清除",这时就已经初步成功了。
3.打开注册表编辑器，（在运行对话框中输入regedit），在注册表中以Ywvpysxl作为关键字搜索，将搜到的键值删除即可。至此，病毒被成功清除。
第2步中的方法也可以用Sysinternals公司的ProcessExplorer这个工具来完成，在网上就可以搜索到，运行后点击Process标签，让进程以进程树的方式显示，这时可以看到IE仍在运行，但它的父进程是svchost.exe，注意系统中会有很多的svchost进程，不要全部结束，结束启动IE的进程就可以了，也就是IE进程上面的svchost文件，选中这个svchost进程，选鼠标右键中的Kill Process Tree，点确定就可以了，就结束了病毒体的运行，然后到C:/WINDOWS/system32/下删除Ywvpysxl.d1l。
如果嫌上面提到的步骤麻烦，还是推荐使用我提到的KillFiles工具，不过它不是很完善，一些情况下会出错，本人不对用户误使用该程序造成的损失负任何责任。


DLL后门清除完全篇
前言

　　后门！相信这个词语对您来说一定不会陌生，它的危害不然而欲，但随着人们的安全意识逐步增强，又加上杀毒软件的“大力支持”，使传统的后门无法在隐藏自己，任何稍微有点计算机知识的人，都知道“查端口”“看进程”，以便发现一些“蛛丝马迹”。所以，后门的编写者及时调整了思路，把目光放到了动态链接程序库上，也就是说，把后门做成DLL文件，然后由某一个EXE做为载体，或者使用Rundll32.exe来启动，这样就不会有进程，不开端口等特点，也就实现了进程、端口的隐藏。本文以“DLL的原理”“DLL的清除”“DLL的防范”为主题，并展开论述，旨在能让大家对DLL后门“快速上手”，不在恐惧DLL后门。好了，进入我们的主题。
一，DLL的原理
1，动态链接程序库
　　动态链接程序库，全称：Dynamic Link Library，简称：DLL，作用在于为应用程序提供扩展功能。应用程序想要调用DLL文件，需要跟其进行“动态链接”；从编程的角度，应用程序需要知道DLL文件导出的API函数方可调用。由此可见，DLL文件本身并不可以运行，需要应用程序调用。正因为DLL文件运行时必须插入到应用程序的内存模块当中，这就说明了：DLL文件无法删除。这是由于Windows内部机制造成的：正在运行的程序不能关闭。所以，DLL后门由此而生！
2，DLL后门原理及特点
　　把一个实现了后门功能的代码写成一个DLL文件，然后插入到一个EXE文件当中，使其可以执行，这样就不需要占用进程，也就没有相对应的PID号，也就可以在任务管理器中隐藏。DLL文件本身和EXE文件相差不大，但必须使用程序（EXE）调用才能执行DLL文件。DLL文件的执行，需要EXE文件加载，但EXE想要加载DLL文件，需要知道一个DLL文件的入口函数（既DLL文件的导出函数），所以，根据DLL文件的编写标准：EXE必须执行DLL文件中的DLLMain（）作为加载的条件（如同EXE的mian（））。做DLL后门基本分为两种：1）把所有功能都在DLL文件中实现；2）把DLL做成一个启动文件，在需要的时候启动一个普通的EXE后门。
常见的编写方法：
　　(1)，只有一个DLL文件
　　这类后门很简单，只把自己做成一个DLL文件，在注册表Run键值或其他可以被系统自动加载的地方，使用Rundll32.exe来自动启动。Rundll32.exe是什么？顾名思意，“执行32位的DLL文件”。它的作用是执行DLL文件中的内部函数，这样在进程当中，只会有Rundll32.exe，而不会有DLL后门的进程，这样，就实现了进程上的隐藏。如果看到系统中有多个Rundll32.exe，不必惊慌，这证明用Rundll32.exe启动了多少个的DLL文件。当然，这些Rundll32.exe执行的DLL文件是什么，我们都可以从系统自动加载的地方找到。
　　现在，我来介绍一下Rundll32.exe这个文件，意思上边已经说过，功能就是以命令行的方式调用动态链接程序库。系统中还有一个Rundll.exe文件，他的意思是“执行16位的DLL文件”，这里要注意一下。在来看看Rundll32.exe使用的函数原型：
　　Void CALLBACK FunctionName (
　　HWND hwnd,
　　HINSTANCE hinst,
　　LPTSTR lpCmdLine,
　　Int nCmdShow
　　);
　　其命令行下的使用方法为：Rundll32.exe DLLname,Functionname [Arguments]
　　DLLname为需要执行的DLL文件名；Functionname为前边需要执行的DLL文件的具体引出函数；[Arguments]为引出函数的具体参数。
　　(2)，替换系统中的DLL文件
　　这类后门就比上边的先进了一些，它把实现了后门功能的代码做成一个和系统匹配的DLL文件，并把原来的DLL文件改名。遇到应用程序请求原来的DLL文件时， DLL后门就启一个转发的作用，把“参数”传递给原来的DLL文件；如果遇到特殊的请求时（比如客户端），DLL后门就开始，启动并运行了。对于这类后门，把所有操作都在DLL文件中实现最为安全，但需要的编程知识也非常多，也非常不容易编写。所以，这类后门一般都是把DLL文件做成一个“启动”文件，在遇到特殊的情况下（比如客户端的请求），就启动一个普通的EXE后门；在客户端结束连接之后，把EXE后门停止，然后DLL文件进入“休息”状态，在下次客户端连接之前，都不会启动。但随着微软的“数字签名”和“文件恢复”的功能出台，这种后门已经逐步衰落。
　　提示：
　　在WINNTsystem32目录下，有一个dllcache文件夹，里边存放着众多DLL文件（也包括一些重要的EXE文件），在DLL文件被非法修改之后，系统就从这里来恢复被修改的DLL文件。如果要修改某个DLL文件，首先应该把dllcache目录下的同名DLL文件删除或更名，否则系统会自动恢复。
(3)，动态嵌入式

　　这才是DLL后门最常用的方法。其意义是将DLL文件嵌入到正在运行的系统进程当中。在Windows系统中，每个进程都有自己的私有内存空间，但还是有种种方法来进入其进程的私有内存空间，来实现动态嵌入式。由于系统的关键进程是不能终止的，所以这类后门非常隐蔽，查杀也非常困难。常见的动态嵌入式有：“挂接API”“全局钩子（HOOK）”“远程线程”等。

　　远程线程技术指的是通过在一个进程中创建远程线程的方法来进入那个进程的内存地址空间。当EXE载体（或Rundll32.exe）在那个被插入的进程里创建了远程线程，并命令它执行某个DLL文件时，我们的DLL后门就挂上去执行了，这里不会产生新的进程，要想让DLL后门停止，只有让这个链接DLL后门的进程终止。但如果和某些系统的关键进程链接，那就不能终止了，如果你终止了系统进程，那Windows也随即被终止！！！
3，DLL后门的启动特性
　　启动DLL后门的载体EXE是不可缺少的，也是非常重要的，它被称为：Loader。如果没有Loader，那我们的DLL后门如何启动呢？因此，一个好的DLL后门会尽力保护自己的Loader不被查杀。Loader的方式有很多，可以是为我们的DLL后门而专门编写的一个EXE文件；也可以是系统自带的Rundll32.exe，即使停止了Rundll32.exe，DLL后门的主体还是存在的。3721网络实名就是一个例子，虽然它并不是“真正”的后门。
二，DLL的清除
　　本节以三款比较有名的DLL后门例，分别为“SvchostDLL.dll”“BITS.dll”“QoServer.dll”。详细讲解其手工清除方法。希望大家在看过这三款DLL后门的清除方法之后，能够举一反三，灵活运用，在不惧怕DLL后门。其实，手工清除DLL后门还是比较简单的，无非就是在注册表中做文章。具体怎么做，请看下文。

1，PortLess BackDoor

　　这是一款功能非常强大的DLL后门程序，除了可以获得Local System权限的Shell之外，还支持如“检测克隆帐户”“安装终端服务”等一系列功能（具体可以参见程序帮助），适用Windows2000/xp/2003等系统。程序使用svchost.exe来启动，平常不开端口，可以进行反向连接（最大的特点哦），对于有防火墙的主机来说，这个功能在好不过了。
　　在介绍清除方法之前，我们先来简单的介绍一下svchost.exe这个系统的关键服务：
　　Svchost只是做为服务的宿主，本身并不实现什么功能，如果需要使用Svchost来启动服务，则某个服务是以DLL形式实现的，该DLL的载体Loader指向svchost，所以，在启动服务的时候由svchost调用该服务的DLL来实现启动的目的。使用svchost启动某个服务的DLL文件是由注册表中的参数来决定的，在需要启动服务的下边都有一个Parameters子键，其中的ServiceDll表明该服务由哪个DLL文件负责，并且这个DLL文件必须导出一个ServiceMain()函数，为处理服务任务提供支持。
　　呵呵！看了上边的理论，是不是有点蒙（我都快睡着了），别着急，我们来看看具体的内容）。我们可以看到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRpcSs下的Parameters子键，其键值为%SystemRoot%system32rpcss.dll。这就说明：启动RpcSs服务时。Svchost调用WINNTsystem32目录下的rpcss.dll。
　　这是注册表的HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSvchost，里边存放着Svchost启动的组和组内的各个服务，其中netsvcs组的服务最多。要使用Svchost启动某个服务，则该服务名就会出现在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSvchost下。这里有四种方法来实现：
　　1， 添加一个新的组，在组里添加服务名
　　2， 在现有组里添加服务名
　　3， 直接使用现有组里的一个服务名，但是本机没有安装的服务
　　4， 修改现有组里的现有服务，把它的ServiceDll指向自己的DLL后门
　　我测试的PortLess BackDoor使用的第三种方法。
　　好了，我想大家看完了上边的原理，一定可以想到我们清除PortLess BackDoor的方法了，对，就是在注册表的Svchost键下做文章。好，我们现在开始。
　　注：由于本文只是介绍清除方法，使用方法在此略过。
　　后门的Loader把SvchostDLL.dll插入Svchost进程当中，所以，我们先打开Windows优化大师中的Windows进程管理2.5，查看Svchost进程中的模块信息，SvchostDLL.dll已经插入到Svchost进程中了，在根据“直接使用现有组里的一个服务名，但是本机没有安装的服务”的提示，我们可以断定，在“管理工具”—“服务”中会有一项新的服务。证明了我的说法，此服务名称为：IPRIP，由Svchost启动，-k netsvcs表示此服务包含在netsvcs服务组中。
　　我们把该服务停掉，然后打开注册表编辑器（开始—运行--regedit），来到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesIPRIP下，查看其Parameters子键）。Program键的键值SvcHostDLL.exe为后门的Loader；ServiceDll的键值C:WINNTsystem32svchostdll.dll为调用的DLL文件，这正是后门的DLL文件。现在我们删除IPRIP子键（或者用SC来删除），然后在来到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSvchost下，编辑netsvcs服务组，把49 00 70 00 72 00 69 00 70 00 00 00删除，这里对应的就是IPRIP的服务名。然后退出，重启。重启之后删除WINNTsystem32目录下的后门文件即可。

2，BITS.dll

　　这是榕哥的作品，也是DLL后门，和SvchostDLL.dll原理基本一样，不过这里使用的是上边介绍的第四种方法，即“修改现有组里的现有服务，把它的ServiceDll指向自己的DLL后门”。换句话说，该后门修改现有的某一个服务，把其原有服务的DLL指向自己（也就是BITS.dll），这样就达到了自动加载的目的；其次，该后门没有自己的Loader，而是使用系统自带的Rundll32.exe来加载。我们还是用Windows 进程管理2.5来查看，从图7中，我们可以看到bits.dll已经插入到Svchost进程当中。
　　好，现在我们来看看具体的清除方法，由于该后门是修改现有服务，而我们并不知道具体是修改了哪个服务，所以，在注册表中搜索bits.dll，最后在HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRasAuto下搜索到了bits.dll，查看Parameters子键下的ServiceDll，其键值为C:WINNTsystem32bits.dll（如图8）。原来，该后门把RasAuto服务原来的DLL文件替换为bits.dll了，这样来实现自动加载。知道了原因就好办了，现在我们把ServiceDll的键值修改为RasAuto服务原有的DLL文件，即%SystemRoot%System32rasauto.dll，退出，重启。之后删除WINNTsystem32目录下的bits.dll即可。
3，NOIR--QUEEN
　　NOIR--QUEEN(守护者)是一个DLL后门&木马程序，服务端以DLL文件的形式插入到系统的Lsass.exe进程里，由于Lsass.exe是系统的关键进程，所以不能终止。在来介绍清除方法之前，我先介绍一下Lsass.exe进程：
　　这是一个本地的安全授权服务，并且它会为使用Winlogon服务的授权用户生成一个进程，如果授权是成功的，Lsass就会产生用户的进入令牌，令牌使用启动初始 的Shell。其他的由用户初始化的进程会继承这个令牌。
　　从上边的介绍我们就可以看出Lsass对系统的重要性，那具体怎么清除呢？请看下文。
　　后门在安装成功后，会在服务中添加一个名为QoSserver的服务，并把QoSserver.dll后门文件插入到Lsass进程当中，使其可以隐藏进程并自动启动（如图9）。现在我们打开注册表，来到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesQoSserver，直接删除QoSserver键，然后重启。重启之后，我们在来到服务列表中，会看到QoSserver服务还在，但没有启动，类别是自动，我们把他修改为“已禁用”；然后往上看，会发现一个服务名为AppCPI的服务，其可执行程序指向QoSserver.exe（原因后边我会说到），具体如图11所示。我们再次打开注册表，来到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesAppCPI，删除AppCPI键，重启，再删除QoSserver，最后删除WINNTsystem32目录下的后门文件。
　　本人和这个后门“搏斗”了3个多小时，重启N次。原因在于即使删除了QoSserver服务，后门还是在运行，而且服务列表中的QoSserver服务又“死灰复燃”。后来才知道原因：在我删除了QoSserver服务并重启之后，插入到Lsass进程当中的QoSserver.dll文件又恢复了QoSserver服务，并且生成了另外一个服务，即AppCPI，所以我们必须在到注册表中删除AppCPI服务才算是把该后门清除。由此可以看出，现在的后门的保护措施，真是一环扣环。
　　注意：在删除QoSserver服务并重启之后，恢复的QoSserver的启动类别要修改为“已禁用”，否则即便删除了AppCPI服务，QoSserver服务又运行了。

三，DLL的防范

　　看了上边的例子，我想大家对清除DLL后门的方法有了一定的了解，但在现实中，DLL后门并不会使用默认的文件名，所以你也就不能肯定是否中了DLL后门。对于DLL后门，system32目录下是个好地方，大多数后门也是如此，所以这里要非常注意。下面我来具体介绍一下怎么发现DLL后门，希望对大家有所帮助。
　　1，安装好系统和所有的应用程序之后，备份system32目录下的EXE和DLL文件：打开CMD，来到WINNTsystem32目录下，执行：dir *.exe>exe.txt & dir *.dll>dll.txt，这样，就会把所有的EXE和DLL文件备份到exe.txt和dll.txt文件中；日后，如发现异常，可以使用相同的命令再次备份EXE和DLL文件(这里我们假设是exe0.txt和dll0.txt)，并使用：fc exe.txt exe0.txt>exedll.txt & fc dll.txt dll0.txt>exedll.txt，其意思为使用FC命令比较两次的EXE文件和DLL文件，并将比较结果保存到exedll.txt文件中。通过这种方法，我们就可以发现多出来的EXE和DLL文件，并通过文件大小，创建时间来判断是否是DLL后门。
　　2，使用内存/模块工具来查看进程调用的DLL文件，比如Windows优化大师中的Windows 进程管理 2.5。这样，可以发现进程到底调用了什么DLL文件，在结合上边用FC命令比较出来的结果，又能进一步来确定是否中了DLL后门。如果没有优化大师，可以使用TaskList，这个小工具也可以显示进程调用的DLL文件，而且还有源代码，方便修改。
　　3，普通后门连接需要打开特定的端口，DLL后门也不例外，不管它怎么隐藏，连接的时候都需要打开端口。我们可以用netstat -an来查看所有TCP/UDP端口的连接，以发现非法连接。大家平时要对自己打开的端口心中有数，并对netstat -an中的state属性有所了解。当然，也可以使用Fport来显示端口对应的进程，这样，系统有什么不明的连接和端口，都可以尽收眼底。
　　4，定期检查系统自动加载的地方，比如：注册表，Winstart.bat，Autoexec.bat，win.ini，system.ini，wininit.ini，Autorun.inf，Config.sys等。其次是对服务进行管理，对系统默认的服务要有所了解，在发现有问题的服务时，可以使用Windows 2000 Server Resource Kit中的SC来删除。以上这些地方都可以用来加载DLL后门的Loader，如果我们把DLL后门Loader删除了，试问？DLL后门还怎么运行？！
　　通过使用上边的方法，我想大多数DLL后门都可以“现形”，如果我们平时多做一些备份，那对查找DLL后门会启到事半功倍的效果。