你们好，最近小未来发现有诸多的小伙伴们对于Rootkit病毒vs火绒，rootkit病毒这个问题都颇为感兴趣的，今天小活为大家梳理了下，一起往下看看吧。

1、 “服务”是windows系统的核心部分。在nt体系结构系统中，服务是指执行特定系统功能的程序、例程或进程，以便支持其它程序，尤其是底层(接近硬件)程序。当通过网络提供服务时，

2、 服务可以在active directory中发布，这促进了以服务为中心的管理和使用。服务是在后台运行的应用程序类型。服务应用通常可以在本地和通过网络为用户提供一些功能。

3、 例如客户端/服务器应用、网络服务器、数据库服务器和其他基于服务器的应用。“服务”本身也是一个程序。由于领域和功能的不同，服务程序有两种形式：exe和dll。

4、 采用dll形式的服务是因为dll可以实现hook，这是一些服务必须的数据交换行为，而nt架构系统使用一个名为“svchost.exe”的程序来执行dll的加载过程。

5、 所有的服务dll都由这个程序按照特定的组统一加载到内存中。但是，现在越来越多的病毒作者把矛头对准了这个系统自带的加载器，因为它永远杀不死。

6、 病毒作者将木马体编写成符合微软开发文档规范的面向服务的dll模块文件，然后通过安装程序将木马dll放入系统目录。

7、 并将自己注册为服务管理器(scm)中通过svchost.exe加载的服务dll组件之一。为了提高隐蔽性，病毒作者甚至直接替换系统中默认开启的一些不重要的服务加载代码。

8、 比如“分布式链接跟踪客户端”的默认启动命令是“svchost -k netsvcs”。如果病毒替换了启动命令建立的组“netsvsc ”,

9、 也就是“svchost -k netsvsc”，在社会工程的攻势下，即使是有一般病毒检测经验的用户，也很难在第一时间察觉到问题来自服务项，因此病毒可以成功逃脱各种查杀。

10、 目前已经发现使用这种方法的木马出现了，一个名为“ad1.exe”的广告程序就是典型的例子。

11、 它通过替换“分布式链接跟踪客户端”服务的svchost启动项，避免了一般的手动查杀，同时也是一个病毒下载器。一旦系统感染了这个恶意程序，

12、 各种木马都有可能来到你的机器上。

13、 清理dll木马，用户需要使用sysinternals出品的第三方进程管理工具“process explorer”，利用其“查找句柄或dll”功能。

14、 它可以快速搜索某个dll附带的进程信息并终止它，这样dll在失去载体后就可以成功删除。为了避免与系统dll冲突，dll木马的文件名一般不会太专业。

15、 甚至还有像“safaf.dll”、“est.dll”这样的名字，或者一些系统中从来没有出现过的文件名，比如“kernel.dll”、“rundll32.dll”。

16、 除了使用“进程浏览器”查找并终止一个进程，还可以使用icesword强制卸载一个进程中的dll模块来达到效果。

17、 对于面向服务的dll，我们还是用“流程浏览器”来干掉它。由于它的层次结构，用户可以直观地看到进程的启动连接。如果机器感染了无法杀死的顽固特洛伊木马，

18、 有经验的用户首先做的就是在启动时禁止无关或不重要的程序和服务运行，然后用“进程浏览器”观察各个进程的情况。虽然svchost.exe启动的dll木马很狡猾，

19、 但是当它发布exe文件时，一切都暴露了：一个svchost.exe服务进程执行了一个ad1.exe。还有什么比这更明显的呢？

20、 svchost的分组信息位于注册表的" HKEY _本地_机器\软件\微软\ windows nt \当前版本\ svchost "项目，

21、 这是svchost加载dll时的分组依据。如果用户发现一条陌生的分组信息，就要提高警惕。

以上就是rootkit病毒这篇文章的一些介绍，希望对大家有所帮助。