已经中了木马:用IE浏览网页的时候,系统会调用shdoclc.dll中的资源,windows系统规定在载入dll文件的时候,如果dll文件含有dllmain函数就对它进行初始化,但是正常的shdoclc.dll文件是没有dllmain函数的,他只是包含了各种资源而已。RES木马包含的dllmain函数,利用这一点,我们就会在浏览网页的时候自动中招。 我们了解了RES木马原理后,我们便可以把系统的RES给找出来了。原shdoclc.dll文件没有任何执行代码,其函数输出表应该为空,但是木马就会调用系统的API函数。我们根据这点来查出系统的RES内鬼。 我们要使用的工具是DEPENDENCY WALKER来查看其API输出表即可。 运行解压后的文件,使用"FLIE-OPEN"打开shdoclc.dll文件 【默认地址在:c:\windows\sysytm32\shdoclc.dll】 查看左面的函数输出表如果为空表明你没有中这种毒。 如果已经中标了,重启到安全模式,用sfc命令恢复即可,或者从别人机器拷贝一个也可以
进程文件:shdoclc.dll 进程名称:microsoft shell doc object and control library 描述:shdoclc.dll是为windows应用程序添加基础文件和网络操作相关模块。 出品者:microsoft1 属于:windows
标签:shdoclc,dll,病毒
版权声明:文章由 去回答 整理收集,来源于互联网或者用户投稿,如有侵权,请联系我们,我们会立即处理。如转载请保留本文链接:https://www.quhuida.com/life/257853.html
