大家都是圈内人,都应该知道马王-----DLL病毒的牛B之处.其运行时不显示界面\进程还不占用过多的内存且任何一款不管正盗版杀毒软件都杀不了,现在我门就来分析他的原理:
在分析DLL病毒之前我们先来了解几条鲜为人知的命令regsvr32和taskill.他门就是构成DLL(动态数据库)文件牛B的根本下面我来说说他的作用:
(1)regsvr32[/s][/n]{[/i[:cmdline]]} dllname (/u - 解除服务器注册; /s - 无声,不显示消息框;/i - 调用 DllInstall,给其传递一个可选[cmdline],跟/u 一起使用时,卸载 DLL;/n - 不要调用 DllRegisterServer,这个选项必须跟/i 一起使用)
regsvr32 /u zipfldr.dll------取消ZIP支持
(2)taskill /参数 进程名或进程的pid 终止一个或多个任务和进程。
参数说明:/PID 要终止进程的pid,可用tasklist命令获得各进程的pid,/IM 要终止的进程的进程名,/F 强制终止进程,/T 终止指定的进程及他所启动的子进程。
tasklist 显示当前运行在本地和远程主机上的进程、服务、服务各进程的进程标识符(PID)。
参数说明:/M 列出当前进程加载的dll文件,/SVC 显示出每个进程对应的服务,无参数时就只列出当前的进程。
现在大家都知道了这2条命令应该明白DLL病毒是怎么在作怪了吧!!(比尔看到我发的帖肯顶会气挂的,这可是微软的机密啊!!)现在我门就来干掉DLL病毒(所谓的木马之王)吧!先用tasklist /M 列出当前进程加载的dll文件,/SVC 显示出每个进程对应的服务,无参数时就只列出当前的进程。就可以看到有哪些是DLL病毒了 知道了以后就用regsvr32 /u *.dll 卸载了DLL病毒,然后在删掉它这样马王就被干掉了