关于免杀 DELL文件

您好
Windows程序设计中指出:
DLL_PROCESS_ATTACH //被进程加载
DLL_PROCESS_DETACH //被进程卸载
DLL_THREAD_ATTACH //被加载后的进程创建了新线程
DLL_THREAD_DETACH //被Load后的Process释放了某个线程

以上这是DLL中的4个事件.
至于你的Backdoor中的DLL是什么?有何用?
我们来分析一下.

现在的Tro大多数靠Service服务启动.
而Tro基本上是2个-3个文件,
其中包括,.Exe,.Dll,.Sys(有的无).

Dll靠一个Load来成为木马的狈,
而那个Exe(loader)是一个狼,
这就是狼狈为奸的故事.

当Tro运行时,Exe文件会从自己身上释放出来Dll,
如何释放?请百度资源文件.
他把自己的资源自定义文件释放,也就是Dll,
释放到一个指定位置后,靠这个Loader,来顺利进行Injection,呵呵.注入.
一般这样的程序已经达成了主要任务,

但是比如Irat马,他的Dll里面有CreateService功能,
自己创建服务,启动来加载自己.
Dll的,其实我也没实验过.

而这样的马,最主要的就是这个Dll了,他身负重任,
他的身上就是去完成某项工作或者实现Tro主要功能

而那个Exe呢,就是协助他工作的,

就像你看战场上杀敌的士兵和将军是一个道理.

为何用Dll呢?
因为Dll他没有进程.
一般用户不会察觉到.
这就是他的优点,

而Injection,是用来和被注入进程同生共死.
比如你熟悉的Explorer.exe,
将Dll插入到这个进程后,

只能Explorer.exe被结束的时候那个Dll才会被释放,
而对电脑小白,啥?关闭Explorer?你确定要