妙用終截者密碼鎖防止木馬注入Explorer

【賽迪網-IT技術報道】俗話說得好：「知已知彼，百戰不殆」。這句話，不僅常用到軍事戰爭中， 同樣的，在網絡這塊沒有硝煙的戰場上，攻防也自成一套。 不清楚攻擊方式，怎麼能更好的防禦？在接下來的介紹中，我們從中瞭解下「遠程線程注入DLL」的方式，並使用相關的技巧做好防禦。

測試環境：

Windows XP SP2 終截者抗病毒軟體 V5.3

Process Explorer v10.2 Autoruns v8.53

藍蝴蝶遠程控制 v2.0 新世紀首發版

一般遠程控制程序都需要生成一個伺服器端，給中毒者機器運行的程序。 從中我們可以看到，大部分後門木馬都採用注入到系統正常的進程中，如下圖的這款「藍蝴蝶遠程控制」：

注入到Explorer.exe 中的木馬DLL。

妙用終截者密碼鎖 防住木馬注入

早期聽聞「終截者抗病毒軟體」中的「密碼鎖」功能簡單實用，功能卻不乏強大。經過簡單的實驗，發現其確用保護進程不被木馬非法注入病毒DLL的功能。

直接打開Windows文件夾，找到explorer.exe拖拉到「密碼鎖保護列表」中或點擊界面中的「添加「按鈕添加進去，如下圖所示：

經過簡單的操作，Explorer.exe或iexplorer.exe 就可以防止此類木馬的DLL遠程線程注入了。

(