有關*.dll 勘入式病毒



贊助商連結


cpthk
2007-03-18, 07:35 PM
現在有的病毒以*.dll呈現,會在某個程式啟動時一起被啟動,例如explorer.exe

我知道很多程式可以看出來哪些*.dll被載入,但我目前還沒看過可以把那個*.dll卸載掉的工具,還有移除讓下去不會再被一起載入的方法,有人知道嗎?

贊助商連結


DIRECTNORM
2007-03-19, 08:36 PM
在正常的程式架構中,dll 檔是屬於 process 的一部分,
因此直接由記憶體卸載某個 dll 檔,通常會對載入該 dll 檔的 process 造成正常執行的影響,
想要卸載某個 dll 檔比較安全的方法是把載入該 dll 檔的 process 停止,該 dll 檔自然會停止,
假如 dll 是隨著某個 process 的啟動而啟動,如 ie 或 explorer,
則代表系統中的某個設定應該已經註冊了該 dll 檔,
因而當 process 被啟動時,dll 也一併被載入,
要解決這種問題,一般只能從該註冊設定中著手,
建議可以利用 dll 檔名稱為關鍵字,在 registry key 中搜尋,
通常可以找到該設定,
否則的話 dll 檔就有可能是被其他的 loader 載入~

warzero
2007-03-19, 09:06 PM
有很多軟體都可以讓指定的dll從記憶體釋放呀。例如Process Explorer、Unlocker等。
一旦那些dll被釋放后,再來直接手動直接刪除即可。

一般上刪除指定的dll后,系統重心啓動是不會再發作的了。
只是剩下的要尋找登錄值或某程式載入的根源,這樣才可以防止再載入的可能性。
至於病毒的載入dll的可能性很多,刪除法並不通用與全部的病毒。
建議直接去Google找解法,不然就找某病毒的移除程式。
最好的當然是靠自己的經驗去尋找出來,不過這方法是相當花時間、精神力,搞到最後頭痛... XDD

cpthk
2007-03-20, 07:54 AM
有很多軟體都可以讓指定的dll從記憶體釋放呀。例如Process Explorer、Unlocker等。
一旦那些dll被釋放后,再來直接手動直接刪除即可。

一般上刪除指定的dll后,系統重心啓動是不會再發作的了。
只是剩下的要尋找登錄值或某程式載入的根源,這樣才可以防止再載入的可能性。
至於病毒的載入dll的可能性很多,刪除法並不通用與全部的病毒。
建議直接去Google找解法,不然就找某病毒的移除程式。
最好的當然是靠自己的經驗去尋找出來,不過這方法是相當花時間、精神力,搞到最後頭痛... XDD

Process Explorer對卸載dll能力不強,8成的機率都會碰到錯誤,有人知道更強的嗎?

DIRECTNORM
2007-03-20, 08:21 AM
雖然利用工具可以卸載 dll 檔,
不過這種卸載的方式,應該還會要承擔 process crash 掉的風險吧~
如果可以手動以安全的方式停止載入 dll 檔的 process,
或是移除啟動 dll 的設定,
或刪除/rename dll 檔本身後,
再進行相關的處理,風險應該會比較低吧~