清除黑客的后门工具（黑客工具怎么用）

本文目录一览：

• 1、我家电脑被一黑客后门操作了，下面是他用的工具，有什么办法可以解除，或什么杀软能杀掉？
• 2、手无寸铁轻易清除“dll后门木马”
• 3、后门程序如何清除？
• 4、后门病毒专杀工具
• 5、Byshell(Backdoor)后门程序，怎么清啊？

我家电脑被一黑客后门操作了，下面是他用的工具，有什么办法可以解除，或什么杀软能杀掉？

灰鸽子一类的远程软件，进入安全模式断网杀毒，没杀掉尝试用专杀工具（金山.360都有）

手无寸铁轻易清除“dll后门木马”

一直以来，我们都认为木马是以exe结尾的可执行文件，只要不运行exe为后缀的文件就可以了。但如果木马都这么容易辨别，那就不能称为木马了。事实上有很多木马都不是以exe为后缀的，例如著名的后门木马工具bits，就是一款dll后门，整个后门程序只有一个dll文件，但却可以实现非常恐怖的效果。那么dll后门木马是如何运作的?我们又该如何清除dll后门木马呢?请看本文。

★编辑提示：dll后门木马的来历

dll(Dynamic

Link

Library)即系统的动态链接库文件。dll文件本身并不可以运行，需要应用程序调用。当程序运行时，Windows将dll文件装入内存中，并寻找文件中出现的动态链接库文件。dll后门木马实际就是把一段实现了木马功能的代码加上一些特殊代码写成dll文件。我们都知道正在运行的程序是不能关闭的，而dll后门木马会插入到这个应用程序的内存模块中，因此同样同样无法删除，这就是dll后门木马的高明之处。

dll后门木马通常只有一个文件，依靠动态链接程序库，由某一个EXE作为载体，或者使用Rundll32.exe来启动，插入到系统进程中，达到隐藏自身的目的。因此dll后门木马在隐藏技术上比普通木马有了质的飞跃，当然危害性也就大大增加了。

dll后门木马的运作方式

dll后门木马的危害主要分为两方面：1.隐蔽性，由于其可以“寄宿”于任一应用程序的进程，包括系统进程，因此我们很难发现其存在。2.难删除：上文中我们提到被dll后门木马插入的进程是无法结束的，因此要想清除并不容易。

我们来结合实际看看dll后门木马的使用和运作过程。bits是一款著名的dll后门木马，其具备了dll后门木马的所有特点，没有进程，也不开启端口，隐蔽性很强，是dll后门木马的代表。

bits的安装

bits只有一个dll文件——bits.dll。点击“开始”→“运行”，输入“rundll32.exe

bits.dll,install

123456”即可成功让bits进驻系统。

▲安装bits

bits的使用

假设运行bits的计算机IP地址为192.168.0.1，黑客可以使用一款网络工具nc,在“命令提示符”中运行nc后输入命令“nc

192.168.0.1

80”。回车后会发现没有回显，此时我们需要输入“123456@dancewithdolphin[xell]:777”才能命令bits。这条命令的作用是绑定一个shell到本机的777端口，此时黑客再连接目标主机的777端口就可以在目标计算机上执行任意命令了。一般的dll后门木马都需要类似的安装和使用，虽然比普通木马要来得麻烦，但是威力是相当大的。

▲连接bits开启后门

清除木马

bits的清除还是比较简单的，首先运行注册表编辑器，定位到

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRasAutoParameters，将

ServiceDll的键值更改为“%SystemRoot%System32rasauto.dll”即可，然后将系统目录system32文件夹下的bits.dll删除即可。

▲清除bits

dll后门木马的防范

1、当系统存在问题时，我们可以查看进程中的dll文件，找出隐藏在其中的dll后门木马。查看进程中的dll文件可以使用Windows优化大师的进程管理功能，点击进程后，在下方会出现该进程中包含的dll文件，如果是系统进程，那么其dll文件的发行商都应该是“Microsoft”，否则就很有可能是dll后门木马。找到dll后门木马后将进程结束，再根据路径将dll后门木马删除即可。

2、及时更新杀毒软件。dll后门木马虽然和普通木马不同，但仍旧是木马，还是可以被杀毒软件查杀的，只要我们及时升级杀毒软件病毒库，对防范dll后门木马还是有很大帮助的。

后门程序如何清除？

在资源管理器中先找到该文件，并结束相应进程，然后查看文件属性，在Ｃ盘查找同一时间创建的文件，打开注册表，按病毒文件的名字查找后删除，再删除病毒文件……记得备份注册表！格式化重装系统当然能清除系统盘的所有病毒，但是不保证重装后系统又有什么漏洞。所以不提倡一有病毒、木马就重装系统。学会自己清除病毒。或者杀毒软件，或者手动清除。既然你已经知道了病毒文件就如光辉所提，进入安全模式（windows启动的时候按F8，菜单选择安全模式）找到该文件删除，或者在安全模式中进行杀毒！因为在正常模式下，病毒在运行，而WINDOW通常是在运行的程序是不让删除的，而在安全模式下，除了WINDOW运行必须的进程，其他任何程式都没有加载。当然病毒的程式也没有运行，所以你可以删除和杀毒。所以网想杀毒彻底最好在安全模式或DOS下杀毒。

后门病毒专杀工具

病毒专杀大全：

“马吉斯（Worm.Magistr）”病毒专杀工具当前版本：1.0 软件类别：免费 文件大小：320KB 发布时间：2007-06-12 免费下载

卡卡上网安全助手3.0(含3448专杀工具)当前版本：3.0.0.8 软件类别：免费 文件大小：1.38M 发布时间：2006-11-22 免费下载

卡卡上网安全助手3.0(含7939专杀工具)当前版本：3.0.0.8 软件类别：免费 文件大小：1.38M 发布时间：2006-11-16 免费下载

卡卡上网安全助手3.0(含My123专杀工具)当前版本：3.0.0.11 软件类别：免费 文件大小：1.39M 发布时间：2006-11-15 免费下载

Worm.Nimaya （熊猫烧香）专用清除工具当前版本：1.10 软件类别：免费 文件大小：332KB 发布时间：2006-11-14 免费下载

橙色八月专用提取清除工具当前版本：1.6.0.0 软件类别：免费 文件大小：419KB 发布时间：2006-09-15 免费下载

瑞星听诊器当前版本：4.4 软件类别：免费 文件大小：244KB 发布时间：2006-06-27 免费下载

“威金（Worm.Viking）”病毒专杀工具当前版本：1.6 软件类别：免费 文件大小：336 KB 发布时间：2006-06-06 免费下载

“灰鸽子”专用检测清除工具当前版本：1.0 软件类别：免费 文件大小：121KB 发布时间：2006-02-21 免费下载

“Zotob蠕虫(Worm.Zotob)”病毒专杀工具当前版本：1.0 软件类别：免费 文件大小：324 KB 发布时间：2005-08-17 免费下载

“(Backdoor.Win32.Sdbot)”病毒专杀工具当前版本：1.7 软件类别：免费 文件大小：188 KB 发布时间：2005-08-09 免费下载

“新CIH(Win32.Yami)”病毒专杀工具当前版本：1.2 软件类别：免费 文件大小：74 KB 发布时间：2005-05-18 免费下载

瑞星注册表修复工具当前版本：3.0 软件类别：免费 文件大小：664KB 发布时间：2005-01-17 免费下载

股票窃密者（TrojanSpy.Stock）病毒专杀工具当前版本：1.0 软件类别：免费 文件大小：88.5 KB 发布时间：2004-11-30 免费下载

“MSN病毒(Worm.msn.funny)”专杀工具当前版本：1.1 软件类别：免费 文件大小：91 KB 发布时间：2004-10-10 免费下载

MSN蠕虫病毒专用查杀工具当前版本：1.7 软件类别：免费 文件大小：97.5 KB 发布时间：2004-10-10 免费下载

瑞星图片病毒专用查杀工具当前版本：1.2 软件类别：免费 文件大小：88.5 KB 发布时间：2004-09-25 免费下载

ADODB.Stream漏洞防范工具当前版本：1.0 软件类别：免费 文件大小：111 KB 发布时间：2004-06-17 免费下载

“震荡波(Worm.Sasser)”病毒专杀工具当前版本：2.8 软件类别：免费 文件大小：85 KB 发布时间：2004-05-01 免费下载

“网络天空(Worm.Netsky)”病毒专杀工具当前版本：2.1 软件类别：免费 文件大小：85 KB 发布时间：2004-02-20 免费下载

“SCO炸弹(Worm.Novarg)”病毒专杀工具当前版本：1.4 软件类别：免费 文件大小：97.5 KB 发布时间：2004-01-27 免费下载

“恶鹰（Worm.BBeagle）”病毒专杀工具当前版本：1.9 软件类别：免费 文件大小：156 KB 发布时间：2004-01-20 免费下载

“莫国防(Win32.Mgf)”病毒专杀工具当前版本：1.2 软件类别：免费 文件大小：81 KB 发布时间：2003-12-22 免费下载

“小邮差(Worm.Mimail)”病毒专杀工具当前版本：1.3 软件类别：免费 文件大小：83.5 KB 发布时间：2003-11-03 免费下载

“MSN射手(Worm.Smibag)”病毒专杀工具当前版本：1.0 软件类别：免费 文件大小：78.5 KB 发布时间：2003-09-28 免费下载

“QQ病毒”专杀工具当前版本：3.7 软件类别：免费 文件大小：304 KB 发布时间：2003-09-27 免费下载

“V宝贝(Win32.Worm.BabyV)”病毒专杀工具当前版本：1.0 软件类别：免费 文件大小：78 KB 发布时间：2003-09-19 免费下载

“斯文(Worm.Swen)”病毒专杀工具当前版本：1.0 软件类别：免费 文件大小：122 KB 发布时间：2003-09-19 免费下载

“布莱尔(Worm.Blare)”病毒专杀工具当前版本：1.0 软件类别：免费 文件大小：77.5 KB 发布时间：2003-09-08 免费下载

“911(Worm.Neroma)”病毒专杀工具当前版本：1.1 软件类别：免费 文件大小：79 KB 发布时间：2003-09-05 免费下载

“别惹我(Worm.Roron)”病毒专杀工具当前版本：1.0 软件类别：免费 文件大小：78.5 KB 发布时间：2003-08-26 免费下载

“大无极”（Worm.SoBig）病毒专杀工具当前版本：1.6 软件类别：免费 文件大小：78KB 发布时间：2003-08-19 免费下载

“冲击波(Worm.Blaster)”病毒专杀工具当前版本：3.0 软件类别：免费 文件大小：111 KB 发布时间：2003-08-12 免费下载

“劳拉(Win32.Xorala)”病毒专杀工具当前版本：1.3 软件类别：免费 文件大小：75.5 KB 发布时间：2003-08-08 免费下载

“墨菲（Trojan.Mofei）”病毒专杀工具当前版本：1.4 软件类别：免费 文件大小：82 KB 发布时间：2003-06-16 免费下载

“怪物（Worm.Bugbear）”病毒专杀工具当前版本：1.0 软件类别：免费 文件大小：444 KB 发布时间：2003-06-13 免费下载

WYX病毒专杀工具当前版本：1.1 软件类别：免费 文件大小：71KB 发布时间：2003-05-22 免费下载

蠕虫“泡沫人(Worm.P2p.Fizzer)”（又称“费氏”）病毒专杀工具当前版本：1.1 软件类别：免费 文件大小：78 KB 发布时间：2003-05-22 免费下载

“爱情后门(Worm.LovGate)”病毒专杀工具当前版本：3.5 软件类别：免费 文件大小：107 KB 发布时间：2003-03-28 免费下载

红色结束符(Redlof)病毒专杀工具当前版本：1.1 软件类别：免费 文件大小：242KB 发布时间：2003-03-21 免费下载

Byshell(Backdoor)后门程序，怎么清啊？

Byshell是一个无进程、无DLL、无启动项的、集多种Rootkit技术特征的独立功能远程控制后门程序(Backdoor)。其利用线程注射DLL到系统进程，解除DLL映射并删除自身文件和启动项，关机时恢复。它是内核级的木马程序，主要部分工作在Ring0，因此有很强的隐蔽性和杀伤力。黑客通常用Byshell木马程序远程控制安装了Windows NT/2000/XP/2003操作系统的机器。当Byshell被安装在一台远程计算机上后，黑客就拥有完全控制该机器的能力，并且不会被已控制机器所安装的杀毒和防火墙等软件及管理员手工检测出来。

如何绕过主动防御

Byshell利用Rootkit技术，可以绕过严格的防火墙或者边界路由器访问控制，无论从内网或者外网的被控端，都可以轻松连接到外网的控制端。该技术所建立的连接也会被隐藏，被安装该后门程序的机器都不能看到该后门使用的连接。

同时，它没有自己的独立进程，也不会在任务管理器或者绝大部分第三方进程管理工具中出现新进程。它使用一个隐藏的iexplore.exe进行对外连接，可以绕过防火墙的应用程序访问网络地址。在注册表中找不到由它建立的启动项，无任何RUN键值，避免了被Msconfig之类程序检测到。

ByShell木马通过对当前系统的SSDT表进行搜索，接着再搜索系统原来的使用的SSDT表，然后用以前的覆盖现在的SSDT表。木马程序则又可以按照正常的顺序来执行，这样就最终让主动防御功能彻底的失效。

五步清除Byshell

1.安装一个具备进程管理功能的安全工具软件，查看系统进程，可以看到很多被明显标识出的进程。这些进程都是可疑进程，很有可能有些进程已被植入木马病毒。点击其中的IE浏览器进程，发现其中包括了一个可疑的木马模块hack.dll。

2.找出来该安全工具软件中与服务管理相关的选项，同样可以看到多个被明显标识出的系统服务，说明这些服务都不是系统自身的服务。经过查看发现一个名为Hack的服务较为可疑，因为它的名称和木马模块的名称相同。

3.找出工具软件中与文件管理相关的标签，在模拟的资源管理器窗口中，按照可疑模块的路径指引，很快发现了那个可疑的木马模块文件hack.dll，与此同时还发现一个和模块文件同名的可执行文件，看来这个木马主要还是由这两个文件组成的。

4.现在我们就开始进行木马的清除工作。在进程管理选项中首先找到被明显标识的IE浏览器进程，选中它后通过鼠标右键中的“结束这个进程”命令清除它。接着点击服务管理选项，选择名为Hack的服务后，点击右键菜单中的“删除选中的服务”命令来删除。

再选择程序中的文件管理选项，对木马文件进行最后的清除操作。在系统的system32目录找到hack.dll和hack.exe文件后，点击右键菜单中的“直接删除文件”命令，完成对木马的最后一击。然后重新启动系统再进行查看，确认木马是否被清除干净。

5.由于木马程序破坏了杀毒软件在SSDT表中的内容，因此大家最好利用软件自带的主动修复功能来进行修复，或者重新将杀毒软件安装一次即可。

以前木马种植前，黑客最重要的工作就是对其进行免杀操作，这样就可躲过杀毒软件的特征码检测。现在ByShell已经有木马可以突破主动防御，以后这类木马也会越来越多，因此大家一定要加强自己的安全意识。