认识使用Rootkit技术的木马

　　自从“广外幽灵”开创了dll木马时代的先河以来，现在采用线程注射的dll木马和恶意程序已经随处可见了，除了普遍被采用的另行编写dll加载器程序躲在启动项里运行加载dll主体之外，“求职信”还带来了一种比较少见的通过注册表“hkey_local_machinesoftwaremicrosoftwindows ntcurrentversionwindowsappinit_dlls”项目加载自身dll的启动方法，而相对于以上几种早期方法，现在更有一种直接利用系统服务启动自身的木马程序，这才是真正的难缠！

　　“服务”是windows系统的一大核心部分，在nt架构系统中，服务是指执行指定系统功能的程序、例程或进程，以便支持其他程序，尤其是底层(接近硬件)程序。通过网络提供服务时，服务可以在active directory中发布，从而促进了以服务为中心的管理和使用。服务是一种应用程序类型，它在后台运行。服务应用程序通常可以在本地和通过网络为用户提供一些功能，例如客户端/服务器应用程序、web服务器、数据库服务器以及其他基于服务器的应用程序。 “服务”自身也是一种程序，由于使用的领域和作用不同，服务程序也有两种形式：exe和dll，采用dll形式的服务是因为dll能实现hook，这是一些服务必需的数据交换行为，而nt架构系统采用一个被称为“svchost.exe”的程序来执行dll的加载过程，所有服务dll都统一由这个程序根据特定分组载入内存，然而，如今越来越多病毒作者瞄上了这个系统自带的加载器，因为它永远也不能被查杀。

　　病毒作者将木马主体写成一个符合微软开发文档规范的服务性质dll模块文件，然后通过一段安装程序，将木马dll放入系统目录，并在服务管理器（scm）里注册自身为通过svchost.exe加载的服务dll组件之一，为了提高隐蔽性，病毒作者甚至直接替换系统里某些不太重要而默认开启的服务加载代码，如“distributed link tracking client”，其默认的启动命令是“svchost -k netsvcs”，如果有个病毒替换了启动命令为自己建立的分组“netsvsc”，即“svchost -k netsvsc”，在这种旁门左道加社会工程学的攻势下，即使是具备一般查毒经验的用户也难以在第一时间内察觉到问题出自服务项，于是病毒得以成功逃离各种查杀。