測試環境:
Win XP SP2 終截者抗病毒軟件 V5.3
Process Explorer v10.2 Autoruns v8.53
藍蝴蝶遠程控制 v2.0 新世紀首發版
一般遠程控制程序都需要生成一個服務器端,給中毒者機器運行的程序。 從中我們可以看到,大部分後門***都採用注入到系統正常的進程中,如下圖的這款“藍蝴蝶遠程控制”
注入到Explorer.exe 中的***DLL
妙用終截者密碼鎖 防住***注入
早期聽聞“終截者抗病毒軟件”中的“密碼鎖”功能簡單實用,功能卻不乏強大。經過簡單的實驗,發現其確用保護進程不被***非法注入病毒DLL的功能。
直接打開Windows文件夾,找到explorer.exe拖拉到“密碼鎖保護列表”中或點擊界面中的“添加“按鈕添加進去,如下圖所示:
經過簡單的操作,Explorer.exe或iexplorer.exe 就可以防止此類***的DLL遠程線程注入了。