知行合一

杀掉马王(DLL病毒)其实十分简单

来自:neeao‘s blog
大家都是圈内人,都应该知道马王—–DLL病毒的牛X之处.其运行时不显示界面\进程还不占用过多的内存且任何一款不管正盗版杀毒软件都杀不了,现在我门就来分析他的原理:
  在分析DLL病毒之前我们先来了解几条鲜为人知的命令regsvr32和taskill.他门就是构成DLL(动态数据库)文件牛X的根本下面我来说说他的作用:
  
  (1)regsvr32[/s][/n]{[/i[:cmdline]]} dllname (/u – 解除服务器注册; /s – 无声,不显示消息框;/i – 调用 DllInstall,给其传递一个可选[cmdline],跟/u 一起使用时,卸载 DLL;/n – 不要调用 DllRegisterServer,这个选项必须跟/i 一起使用)
  regsvr32 /u zipfldr.dll——取消ZIP支持
  
  (2)taskill /参数 进程名或进程的pid 终止一个或多个任务和进程。
  参数说明:/PID 要终止进程的pid,可用tasklist命令获得各进程的pid,/IM 要终止的进程的进程名,/F 强制终止进程,/T 终止指定的进程及他所启动的子进程。
  
  tasklist 显示当前运行在本地和远程主机上的进程、服务、服务各进程的进程标识符(PID)。
  参数说明:/M 列出当前进程加载的dll文件,/SVC 显示出每个进程对应的服务,无参数时就只列出当前的进程。
  
  现在大家都知道了这2条命令应该明白DLL病毒是怎么在作怪了吧!!(比尔看到我发的帖肯顶会气挂的,这可是微软的机密啊!!)现在我门就来干掉DLL病毒(所谓的木马之王)吧!先用tasklist /M 列出当前进程加载的dll文件,/SVC 显示出每个进程对应的服务,无参数时就只列出当前的进程。就可以看到有哪些是DLL病毒了:115 知道了以后就用regsvr32 /u *.dll 卸载了DLL病毒,然后在删掉它这样马王就被干掉了

赞(0) 打赏
未经允许不得转载:嘟嘟鱼 » 杀掉马王(DLL病毒)其实十分简单
分享到: 更多 (0)

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏