网路安全管理 期中报告-dll后门- - twaren.pptVIP

網路安全管理 期中報告-DLL後門 - A0933316 黃志成 指導教授 梁明章 前言 由於人們的安全意識逐漸增強，防毒軟體普及，使的傳統的後門程式無法在隱藏自己，稍有電腦知識的人都會去查看port或工作行程。 因此，後門編寫者把目光放到dll動態鏈結程式庫上，把後門做成dll檔，然後由一個exe載體或使用Rundll32.exe來啟動，這樣就不會有工作行程，也不會開起port，也就實現了工作行程及port的隱藏。 DLL的原理(1) 動態鏈結程式庫 動態鏈結程式庫，全稱：Dynamic Link Library，簡稱：DLL 作用在於為應用程式提供擴展功能，所執掌的功能，大多屬於各種程式所常見的功能 。 DLL檔本身並不可以運行，需要應用程式調用。 由於DLL檔運行時必須插入到應用程式的記憶體模組當中，這就說明了：DLL檔無法刪除。這是由於Windows內部機制造成的：正在運行的程式不能關閉。 DLL的原理(2) DLL後門原理及特點 把一個實作後門功能的程式碼寫成一個DLL檔，然後插入到一個EXE檔當中，使其可以執行，這樣就不需要佔用工作行程，就可以在任務管理器中隱藏。 DLL檔本身和EXE檔相差不大，但必須使用程式（EXE）調用才能執行DLL檔。DLL檔的執行，需要EXE檔載入。 做DLL後門基本分為兩種： 1）把所有功能都在DLL檔中實現。