DLL病毒的常用3種清除方法

DLL病毒的常用3種清除方法

　　臭名昭著的守護(hù)者(NOIR—QUEEN)DLL木馬，DLL病毒的清除方法有哪些呢?下面是學(xué)習(xí)啦小編收集整理的DLL病毒的常用3種清除方法，希望對(duì)大家有幫助~~

　　DLL病毒的常用3種清除方法

　　DLL病毒的幾種基本原理：

　　單獨(dú)編寫(xiě)的DLL文件病毒：這類(lèi)病毒是最容易被清除的DLL病毒，其原理也非常簡(jiǎn)單。病毒作者編寫(xiě)一個(gè)DLL文件，然后通過(guò)注冊(cè)表的Run鍵值或者其他可以被系統(tǒng)加載的地方啟動(dòng)。

　　替換系統(tǒng)文件的DLL病毒：病毒作者把病毒代碼做成一個(gè)和系統(tǒng)匹配的DLL文件，并把原來(lái)的DLL文件改名。遇到應(yīng)用程序請(qǐng)求原來(lái)的DLL文件時(shí)，DLL病毒就啟一個(gè)轉(zhuǎn)發(fā)的作用，把“參數(shù)”傳遞給原來(lái)的DLL文件。通過(guò)偷梁換柱的方法，DLL病毒堂而皇之的在用戶(hù)電腦中活動(dòng)。

　　動(dòng)態(tài)嵌入式DLL病毒：這類(lèi)病毒，可以在系統(tǒng)進(jìn)程運(yùn)行的時(shí)候，通過(guò)一些方法，進(jìn)入系統(tǒng)的進(jìn)程中。由于系統(tǒng)進(jìn)程無(wú)法終止，動(dòng)態(tài)嵌入式的DLL病毒很難清除。

　　下面，我們以臭名昭著的守護(hù)者(NOIR—QUEEN)DLL木馬為例，介紹一下DLL病毒的清除方法。

　　工具/原料

　　DLL備份補(bǔ)丁

　　步驟/方法

　　第一步：查找DLL木馬的Loader：

　　守護(hù)者(NOIR—QUEEN)會(huì)以DLL文件的形式插入到系統(tǒng)的Lsass.exe進(jìn)程中，由于Lsass.exe是系統(tǒng)的關(guān)鍵進(jìn)程，不能被終止。這種情況下，我們必須查找守護(hù)者的Loader。

　　使用“進(jìn)程獵手”工具查看Lsass進(jìn)程所調(diào)用的DLL文件，并與感染病毒前的信息比較，可以發(fā)現(xiàn)Lsass進(jìn)程中增加了“QoSserver.dll”文件。通過(guò)操作系統(tǒng)自帶的文件搜索功能，查找到了QoSserver.exe文件，這就是守護(hù)者的Loader。

　　第二步：結(jié)束相關(guān)進(jìn)程：

　　感染了守護(hù)者病毒，在任務(wù)管理器中會(huì)有一個(gè)QoSserver.exe進(jìn)程，強(qiáng)制結(jié)束這個(gè)進(jìn)程。并在“服務(wù)”選項(xiàng)中，找到該項(xiàng)服務(wù)，并將其禁用。

　　第三步：清理注冊(cè)表：

　　利用注冊(cè)表中的查找服務(wù)，查找“QoSserver”關(guān)鍵字，并且將其鍵值逐一刪除。

　　所有操作完成之后，重新啟動(dòng)計(jì)算機(jī)，然后逐一檢查守護(hù)者是否被清理干凈。這樣，我們就可以手工清除DLL病毒。由于DLL病毒類(lèi)型不同，其清除方法也有所差異。不過(guò)，其步驟都是相同的，先用工具軟件查找DLL病毒的Loader，然后針對(duì)具體情況采取不同的措施清除病毒。DLL病毒的清理相當(dāng)?shù)膹?fù)雜，而且一些比較頑固的DLL病毒，一次很難清理干凈。對(duì)于一些隱蔽性非常強(qiáng)的DLL病毒，殺毒軟件沒(méi)有查殺能力，必須采用特殊的清除方法來(lái)清除。