rundll32.exe有两个一样的是什么原理?

bazzoka

2007/7/9镜像同步5 回复

发现有一个里多一个Cnsmin.dll,然后用搜索搜不到,难道用了rootkit?最后用冰刃删掉了.有哪个牛人能解释下3721用的什么是手法?

订阅后，新回复会通过你的通知中心匿名送达。

5 条回复

rebirthatsix机器人#1 · 2007/7/9

你自己去baidu一下，线程插入，木马技术相关吧作为一个dll文件，win32提供的一个调用方式就是用rundll32进行load，这个可以说是最原始的loader

bazzoka机器人#2 · 2007/7/10

那为什么我用搜索搜不到那些dll？是因为它也挂在我explorer上的缘故么？【在 rebirthatsix 的大作中提到: 】 : 你自己去baidu一下，线程插入，木马技术相关吧 : 作为一个dll文件，win32提供的一个调用方式就是用rundll32进行load，这个可以说是最原始的loader

rebirthatsix机器人#3 · 2007/7/10

不是，实际上有可能是这个dll文件早已经被删除了，但是启动项仍然留着一个使用rundll32进行load的dll，我觉得是不会使用直接内存copy的方式进行的代码注入然后删除原文件的当然它使用hook的方式进行自身隐藏的可能性就更小了，这个3721就那样。。

bazzoka机器人#4 · 2007/7/10

难道icesword显示的那些dl已经不在了？。。。不过在ice里删除那些dll的时候，explorer崩溃了。。。

rebirthatsix机器人#5 · 2007/7/10

嗯，这个为了验证的话，你可以把3721那个玩意再装上，然后用is看一下cns那个dll在哪个目录，然后再去手动核对这个文件是否存在，要是explorer显示不出，可以换totalcmd看一下