第二章 模块篇
　　
　　 模块是什么？模块，是指具备某一种或某一类功能的特殊功能模块，其外在的表现形式通常为各种动态库文件（通常以.dll为扩展名字）或插件文件（通常以.OCX为扩展名字）。它们由应用程序加载，来为程序提供某一特定的功能。
　　 就像我们的电视机，如果加了一个卫星天线，就可以收到更多的节目一样，卫星天线本身是与电视机无关的，但它一但被电视机所用，就可以为电视机提供额外的功能。卫星天线相对于电视机，也就是相当于模块相对于程序。
　　 每个进程都有几个到上百个不等的模块，每个模块都有其特定的用途，当然了，如果某个模块是木马的话，也有其木马用途。
　　 当进程检查流行起来，且检查的越来越深入时，木马的制造者们开始制作无进程木马，木马是做为一个模块出现的，这样它将不存在于进程列表中。无论你用何等高级的进程检测技术都无法检测到模块木马的存在。
　　 一台电脑中，进程可能有十几个或几十个，但模块却有好几百个，数量的增多也增加了我们检测的难度。
　　 对检测工具的要求，仍然是需要具备数字签名验证的能力，否则手工从几百个模块文件中挑出木马，真的很累～（木马模块的检查，请看下面的图）
　　
　　 找到后怎么办呢？
　　 呵呵，上次有朋友遇到过这问题，结果是他用暴力手段给卸载并删除了～，应该这样处理么？
　　 答案仍然是否定的！
　　不要暴力卸载并删除～～原因么？原因先缓一缓再说，我们先了解一下儿模块木马的启动运行机制，然后再解释为什么不要暴力卸载删除。
　　
　　 模块木马分为两种：一种是静态加载的，一种是动态注入的。
　　 静态加载的，是把自己的木马文件，在注册表的某键下注册，这样，系统会在开机或运行某一程序时自动的加载在这一键下注册的所有模块，这样，木马就实现了进入到程序中，并执行其非法活动的目的。（在注册表的哪些键下注册可以让系统加载，在后面的启动项检查中会有解释）
　　 动态加载的，这类木马就是所谓的进程注入型木马，它的实现不但需要有一个模块文件，还需要有一个将模块文件注入到进程中的注入程序。先将注入程序启动，然后由注入程序将模块木马注入到其它的进程中，完成注入后，注入程序就结束了运行，这样，你仍然无法看到进程。

转截请注明:文章来自 pc捍卫者 http://www.pchwz.com 本站发布此文为传递更多信息之目的,不表明pc捍卫者赞同其观点