360浏览器清除缓存,小猪教您如何清除缓存360浏览器

所以，后门的编写者及时调整了思路，把目光放到了动态链接程序库上，也就是说，把后门做成dll文件，然后由某一个EXE做为载体，或者使用Rundll32.exe来启动，这样就不会有进程，不开端口等特点，也就实现了进程、端口的隐藏。

本文以"DLL的原理""DLL的清除""DLL的防范"为主题，并展开论述，旨在能让大家对DLL后门"快速上手"，不在恐惧DLL后门。

好了，进入我们的主题。

一、DLL的原理 动态链接程序库 动态链接程序库，全称:Dynamic Link Library，简称:DLL，作用在于为应用程序提供扩展功能。

应用程序想要调用DLL文件，需要跟其进行"动态链接";从编程的角度，应用程序需要知道DLL文件导出的API函数方可调用。

由此可见，DLL文件本身并不可以运行，需要应用程序调用。

正因为DLL文件运行时必须插入到应用程序的内存模块当中，这就说明了:DLL文件无法删除。

这是由于Windows内部机制造成的:正在运行的程序不能关闭。

所以，DLL后门由此而生! 二、DLL的清除 本节以三款比较有名的DLL后门例，分别为"SvchostDLL.dll""BITS.dll""QoServer.dll"。

详细讲解其手工清除方法。

希望大家在看过这三款DLL后门的清除方法之后，能够举一反三，灵活运用，在不惧怕DLL后门。

其实，手工清除DLL后门还是比较简单的，无非就是在注册表中做文章。

具体怎么做，请看下文。

1，PortLess BackDoor 这是一款功能非常强大的DLL后门程序，除了可以获得Local System权限的Shell之外，还支持如"检测克隆帐户""安装终端服务"等一系列功能(具体可以参见程序帮助)，适用Windows2000/xp/2003等系统。

程序使用svchost.exe来启动，平常不开端口，可以进行反向连接(最大的特点哦)，对于有防火墙的主机来说，这个功能在好不过了。

在介绍清除方法之前，我们先来简单的介绍一下svchost.exe这个系统的关键服务: Svchost只是做为服务的宿主，本身并不实现什么功能，如果需要使用Svchost来启动服务，则某个服务是以DLL形式实现的，该DLL的载体Loader指向svchost，所以，在启动服务的时候由svchost调用该服务的DLL来实现启动的目的。

使用svchost启动某个服务的DLL文件是由注册表中的参数来决定的，在需要启动服务的下边都有一个Parameters子键，其中的ServiceDll表明该服务由哪个DLL文件负责，并且这个DLL文件必须导出一个ServiceMain()函数，为处理服务任务提供支持。

看了上边的理论，是不是有点蒙，别着急，我们来看看具体的内容。

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRpcSs下的Parameters子键，其键值为%SystemRoot%system32rpcss.dll。

这就说明:启动RpcSs服务时。

Svchost调用WINNTsystem32目录下的rpcss.dll。

注册表的HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSvchost，里边存放着Svchost启动的组和组内的各个服务，其中netsvcs组的服务最多。

要使用Svchost启动某个服务，则该服务名就会出现在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSvchost下。

这里有四种方法来实现: 1， 添加一个新的组，在组里添加服务名 2， 在现有组里添加服务名 3， 直接使用现有组里的一个服务名，但是本机没有安装的服务 4， 修改现有组里的现有服务，把它的ServiceDll指向自己的DLL后门 本文测试的PortLess BackDoor使用的第三种方法。

好了，看完了上边的原理，一定可以想到我们清除PortLess BackDoor的方法了，对，就是在注册表的Svchost键下做文章。

好，我们现在开始。

注:由于本文只是介绍清除方法，使用方法在此略过。

后门的Loader把SvchostDLL.dll插入Svchost进程当中，所以，我们先通过Windows进程管理工具，查看Svchost进程中的模块信息，SvchostDLL.dll已经插入到Svchost进程中了，在根据"直接使用现有组里的一个服务名，但是本机没有安装的服务"的提示，我们可以断定，在"管理工具" "服务"中会有一项新的服务。

此服务名称为:IPRIP，由Svchost启动，-k netsvcs表示此服务包含在netsvcs服务组中。

我们把该服务停掉，然后打开注册表编辑器(开始 运行--regedit)，来到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesIPRIP下，查看其Parameters子键。

Program键的键值SvcHostDLL.exe为后门的Loader;ServiceDll的键值C:WINNTsystem32svchostdll.dll为调用的DLL文件，这正是后门的DLL文件。

现在我们删除IPRIP子键(或者用SC来删除)，然后在来到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSvchost下，编辑netsvcs服务组，把49 00 70 00 72 00 69 00 70 00 00 00删除，这里对应的就是IPRIP的服务名。

然后退出，重启。

重启之后删除WINNTsystem32目录下的后门文件即可。

2，BITS.dll 这也是DLL后门，和SvchostDLL.dll原理基本一样，不过这里使用的是上边介绍的第四种方法，即"修改现有组里的现有服务，把它的ServiceDll指向自己的DLL后门"。

换句话说，该后门修改现有的某一个服务，把其原有服务的DLL指向自己(也就是BITS.dll)，这样就达到了自动加载的目的;其次，该后门没有自己的Loader，而是使用系统自带的Rundll32.exe来加载。

我们还是用Windows 进程管理工具来查看，我们可以看到bits.dll已经插入到Svchost进程当中。

好，现在我们来看看具体的清除方法，由于该后门是修改现有服务，而我们并不知道具体是修改了哪个服务，所以，在注册表中搜索bits.dll，最后在HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRasAuto下搜索到了bits.dll，查看Parameters子键下的ServiceDll，其键值为C:WINNTsystem32bits.dll。

原来，该后门把RasAuto服务原来的DLL文件替换为bits.dll了，这样来实现自动加载。

知道了原因就好办了，现在我们把ServiceDll的键值修改为RasAuto服务原有的DLL文件，即%SystemRoot%System32rasauto.dll，退出，重启。

之后删除WINNTsystem32目录下的bits.dll即可。

3，NOIR--QUEEN NOIR--QUEEN(守护者)是一个DLL后门&木马程序，服务端以DLL文件的形式插入到系统的Lsass.exe进程里，由于Lsass.exe是系统的关键进程，所以不能终止。

在来介绍清除方法之前，先介绍一下Lsass.exe进程: 这是一个本地的安全授权服务，并且它会为使用Winlogon服务的授权用户生成一个进程，如果授权是成功的，Lsass就会产生用户的进入令牌，令牌使用启动初始的Shell。

其他的由用户初始化的进程会继承这个令牌。

从上边的介绍我们就可以看出Lsass对系统的重要性，那具体怎么清除呢?请看下文。

后门在安装成功后，会在服务中添加一个名为QoSserver的服务，并把QoSserver.dll后门文件插入到Lsass进程当中，使其可以隐藏进程并自动启动。

现在我们打开注册表，来到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesQoSserver，直接删除QoSserver键，然后重启。

重启之后，我们在来到服务列表中，会看到QoSserver服务还在，但没有启动，类别是自动，我们把他修改为"已禁用";然后往上看，会发现一个服务名为AppCPI的服务，其可执行程序指向QoSserver.exe(原因后边我会说到)。

我们再次打开注册表，来到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesAppCPI，删除AppCPI键，重启，再删除QoSserver，最后删除WINNTsystem32目录下的后门文件。

和这个后门"搏斗"了3个多小时，重启N次。

原因在于即使删除了QoSserver服务，后门还是在运行，而且服务列表中的QoSserver服务又"死灰复燃"。

后来才知道原因:我删除了QoSserver服务并重启之后，插入到Lsass进程当中的QoSserver.dll文件又恢复了QoSserver服务，并且生成了另外一个服务，即AppCPI，所以我们必须在到注册表中删除AppCPI服务才算是把该后门清除。

由此可以看出，现在的后门的保护措施，真是一环扣环。

注意:在删除QoSserver服务并重启之后，恢复的QoSserver的启动类别要修改为"已禁用"，否则即便删除了AppCPI服务，QoSserver服务又运行了。

三、DLL的防范 看了上边的例子，大家对清除DLL后门的方法有了一定的了解，但在现实中，DLL后门并不会使用默认的文件名，所以你也就不能肯定是否中了DLL后门。

对于DLL后门，system32目录下是个好地方，大多数后门也是如此，所以这里要非常注意。

下面来具体介绍一下怎么发现DLL后门，希望对大家有所帮助。

1，安装好系统和所有的应用程序之后，备份system32目录下的EXE和DLL文件:打开CMD，来到WINNTsystem32目录下，执行:dir *.exe>exe.txt & dir *.dll>dll.txt，这样，就会把所有的EXE和DLL文件备份到exe.txt和dll.txt文件中;日后，如发现异常，可以使用相同的命令再次备份EXE和DLL文件(这里我们假设是exe0.txt和dll0.txt)，并使用:fc exe.txt exe0.txt>exedll.txt & fc dll.txt dll0.txt>exedll.txt，其意思为使用FC命令比较两次的EXE文件和DLL文件，并将比较结果保存到exedll.txt文件中。

通过这种方法，我们就可以发现多出来的EXE和DLL文件，并通过文件大小，创建时间来判断是否是DLL后门。

2，使用内存/模块工具来查看进程调用的DLL文件。

这样，可以发现进程到底调用了什么DLL文件，在结合上边用FC命令比较出来的结果，又能进一步来确定是否中了DLL后门。

3，普通后门连接需要打开特定的端口，DLL后门也不例外，不管它怎么隐藏，连接的时候都需要打开端口。

我们可以用netstat -an来查看所有TCP/UDP端口的连接，以发现非法连接。

大家平时要对自己打开的端口心中有数，并对netstat -an中的state属性有所了解。

当然，也可以使用Fport来显示端口对应的进程，这样，系统有什么不明的连接和端口，都可以尽收眼底。

4，定期检查系统自动加载的地方，比如:注册表，Winstart.bat，Autoexec.bat，win.ini，system.ini，wininit.ini，Autorun.inf，Config.sys等。

其次是对服务进行管理，对系统默认的服务要有所了解，在发现有问题的服务时，可以使用Windows 2000 Server Resource Kit中的SC来删除。

以上这些地方都可以用来加载DLL后门的Loader，如果我们把DLL后门Loader删除了，试问?DLL后门还怎么运行?! 通过使用上边的方法，大多数DLL后门都可以"现形"，如果我们平时多做一些备份，那对查找DLL后门会启到事半功倍的效果。

防止,黑客,入侵,DLL,后门,完全,清除,方法,后门,

金山卫士面世让人第一感觉想到的是360安全卫士，笔者查看了两款软件后，感觉确实拥有不少相似之处。

这样容易在用户心目中造成困惑，我们该选用金山卫士好还是360安全卫士好？一、安装程序与安全性体验(图1)金山卫士与360卫士PK金山卫士的安装程序大小仅为3.54M，360安全卫士安装程序大小为14.2M，身材相差4倍(图1)。

对于用户来说，安装金山卫士能体验到更快捷的下载体验。

同时软件体积小，就意味着安装时的速度会快。

(图2)金山卫士安装环境分析金山卫士会对当前系统安全状态进行检测，时间约10秒左右。

检测中一旦发现问题，就可以为用户对症下药(图2)。

(图3)360安全卫士安装360安全卫士安装时候，不对当前系统环境进行分析，采用直接安装的方式。

用户需要完成安装后，才能对系统进行全面检测(图3)。

总结：由于目前恶意软件的猖獗，以及一些系统已存在的安全缺陷与隐患，软件安装前的环境检测是有必要的，相信大家也记得有一部分杀毒软件，内含了安装前扫描杀毒的功能，同样是为了解决潜在的问题。

二、安全源于专注 界面流露软件文化(图4) 金山卫士界面金山卫士的界面延续了金山公司产品的浅蓝色系传统(图4) ，配合上精美的LOGO图标，界面主要显示的为系统安全体检以及金山卫士的功能介绍。

金山卫士界面功能块，包括了查杀木马、修复漏洞、清理插件、修复IE、实时保护，右下方有云安全服务器连接成功的提示，软件风格活泼、清新。

(图5) 360安全卫士界面360安全卫士的经典界面至今难忘，单从安全内容模块的内容丰富度上，360安全卫士更胜新发布的金山卫士一筹(图5) 。

不过360安全卫士有一处让用户感到困惑的地方，软件右上角 特别推荐 区块中，明显是 吸金 用处广告链接，广告与广告之间似乎也没有什么联系，其中主要以游戏为主：盛大游戏 传奇序章 、上海绿岸 蜀门OL 、北京竞技世界的棋牌游戏、360游戏中心里的 明朝时代 ，鄙人不才，不能理解这些游戏与安全软件之间有什么联系？唯一感觉可能有用的是最下面那条手机充值服务，点进去还是360自己的广告。

总结：金山卫士与360安全卫士的软件界面风格非常相似，色调不同是主要区别。

360安全卫士界面美中不足的是广告比较多。

三、修复IE对比：金山卫士PK360安全卫士(图6)金山卫士IE修复界面金山卫士的IE修复界面细分为三大板块，同时还包括IE设置与IE清理。

可选的IE修复项为12条(图6)，大部分都为常见的IE故障点。

(图7)金山卫士IE设置金山卫士不但能修复IE，同时还能针对IE进行个性化的设置修改，此功能对于用户体验很有帮助(图7)。

通过IE设置里的功能，用户能实现对ie浏览器的使用习惯控制，包括了默认引擎的选择、初始窗口的大小、初始窗口的位置、IE下载文件的数量控制。

(图8)IE清理工具条金山的IE清理功能可以对右键菜单、ie浏览器工具条、插件以及其他设置进行清理。

这些选项可能不如 IE修复 与 IE设置 常用，也是非常重要的功能(图8)。

(图9)360修复IE界面360安全卫士的修复IE界面，可修复的IE选项为11个(图9)。

但从截图中对比金山卫士，360安全卫士可设置的功能有些少，其实不然。

(图10)360插件免疫功能360安全卫士也有类似于金山卫士的IE插件保护功能，只是360安全卫士并没有把这些IE保护功能，进行整合(图10)，浏览器插件的保护功能非常必要，谁也不希望自己的IE浏览器成为红红绿绿的广告花园吧。

总结：同样的功能，金山细分做的比较出色，360安全卫士聚合功能上可以下些功夫。

四、插件检测：金山卫士PK360安全卫士(图11)金山卫士与360安全卫士插件检测PK恶意插件通常对会对系统产生影响，当年来势汹汹的3721插件，让百万互联网用户苦不堪言。

同时有一些插件由于自身存在大量漏洞，会对计算机系统的正常运行与稳定构成严重威胁(图11)。

在同一测试操作系统中，金山卫士共检测出了12款插件，并且在上部的醒目位置进行了细化分类，通过智能识别判断为 安全 级别。

360安全卫士共检测出了11款插件。

此环节的测试插件数量仅做参考，毕竟光看一台机器的检测数据得出结论也是非常不合理的。

而通过观察软件界面我们可以发现，金山卫士在插件的智能分类上做的更为出色，这点也是值得肯定的。

五、系统漏洞检测：金山卫士PK360安全卫士(图12)金山卫士与360安全卫士系统漏洞检测PK系统漏洞是挂马攻击、黑客入侵的主要途径，系统的漏洞修复对于安全防御是最为基础与关键的环节。

及时修复已知漏洞让木马无可趁之机，是每一位上网用户因该养成的国民安全习惯。

在同一测试操作系统中，金山卫士共检测出了28个补丁，其中19个高危漏洞需要修复。

360安全卫士，共检测出了16个漏洞补丁，建议用户修复。

单从补丁检测的效率与数量上来看，金山卫士完胜360安全卫士。

两款软件对于系统漏洞补丁的细化分类，都做的比较出色。

总结：金山卫士的出现，给了广大用户更多的安全软件选择，同时金山卫士软件本身不大，却 五脏俱全 功能全面。

充分体现了金山公司专注于中国互联网安全领域十余年来的沉厚沉淀。

360安全卫士总体上也算优秀，这两款软件究竟能受到多少用户追捧有待市场反馈。

360安全卫士7.0V7.0.0.1002春节抢鲜版下载地址：电信主力下载网通主力下载迅雷下载 快车下载金山卫士1.0 Beta 简体中文官方安装版下载地址：电信主力下载 网通主力下载 迅雷下载 快车下载 金山,卫士,360,哪个,好,细节,定,胜败,金山,