提到木马，想必大家是再熟悉不过了。但是要说到DLL木马，可能还有很多朋友不甚了解。DLL木马到底是什么，它有何种功能，对我们的系统会造成何种危害，如何防范它?本文将为你揭开谜底。
　　我们平时所见到的木马大多都是可执行文件，这些木马在系统中隐藏自己的本领有限，很容易暴露。而DLL木马则不同，它只有一个文件，依靠动态链接程序库，由某一个EXE做为载体，或者使用RunDLL32．exe来肩动，插入到系统进程中，以达到隐藏自身的目的。因此DLL木马在隐藏技术上比普通小马有了质的飞跃，当然危害性也就大大增加了。下面就让我们通过一款DLL木马“bits”来了解如何防护和清除DLL木马。
　　
　　什么是DLL木马
　　DLL(Dynamic Link Library)即系统的动态链接库文件。DLL文件本身不可以运行，需要应用程序调用。当程序运行时，Windows将DLL文件装入内存中，开寻找文件中出现的动态链接库文件。DLL木马实际就是把一段实现了木马功能的代码加上一些特殊代码写成DLL文件，我们知道正在运行的程序是不能被关闭的，而DLL木码插入到一个正在运行的应用程序内存模块中，因此同样死法删除，这就是DLL木马的高明之处。
　　
　　DLL木马的危害
　　DLL木马的危害主要分为两方面：一是隐蔽性，由于它可以“寄宿”丁任一应用程序的进程(包括系统进程)，因此我们很难发现木马的存在；二是难删除，上文中我们提到被DLL木马插入的进程是无法结束的，因此要想清除它并不容易。
　　下面结合实例来看看DLL木马的使用和运作过程。bits是一款著名的DLL木马，具备了DLL木马的所有特点，没有进程，也不开肩端口，隐蔽性很强。bits只有一个DLL文件“bits．dll”，运行命令“RUNDLL32．exe bits．dll，install<123456>”即可让bits进驻系统。假设运行bits的计算机IP地址为192．168．0．1，黑客可以使用一款网络工具“no”，在命令提示符中运行它后输入命令“nc 192．168．0．180”，回车后会发现没有回显，此时再输入“123456@dancewithdolphin[xell]：777”才能命令bits。这条命令的作用是绑定一个shell到本机的777端口，此时黑客再连接目标主机的777端口，就可以存目标汁算机上执行任意命令了。一般的DLL木马都需要通过类似方法来安装和使用，虽然比普通木马要来得麻烦，但是威力是相当大的。
　　


　　bits的清除还是比较简单的，首先运行注册表编辑器，定位到[HKEY_LOCAL_MACHINE＼SYSTEM＼CurrentControlSet＼Services＼RasAuto＼Parameters]，将serviceDLL的键值更改为“％SystemRoot％＼System32＼rasauto．dll”，然后将系统目录system32文件夹下的bits．dll文件删除即可(如图1)。
　　
　　DLL木马的防范
　　DLL木马虽然强大，但是只要注意还是可以防范的。当系统存在问题时，可以使用Windows优化大师的组件“进程管理大师”查看进程中的DLL文件，找出隐藏在其中的DLL木马。在程序上方列表中选中某个进程，再点击下方的“模块列表”标签，列表中就会出现该进程包含的DLL文件。如果是系统进程，那么DLL文件的发行商必是“Microsoft”，否则就很有可能是DLL木马。找到DLL木马后将进程结束，再根据路径删除DLL木马即可(如图2)。
　　此外，还要及时更新杀毒软件。DLL木马虽然和普通小马不同，但毕竟是木马，还是可以被杀毒软件查杀的，只要我们及时升级杀毒软件病毒库，对防范DLL木马还是有很大帮助的。
　　注：本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文。