近來的 Malware 與以前大不相同
以往的惡意軟體
大多是常駐於系統中的執行檔
而現在的 Malware
幾乎都以 DLL 的形式存在
這樣做的好處有

1. 不需要產生 Process，因此也不需要隱藏
2. 可使用宿主的資源，例如以 IE 的名義連線
3. 一個 Process 中的 DLL 非常多，要分析出來並不容易
4. Process 可以很簡單地被終止，但是要從一個 Process 中把目標的 DLL 動態移出來並不容易

通常
DLL Malware 會在開機時自動執行
目前常見的方式有

• 安裝成為系統的元件
• IE 的元件
• 檔案總管的 Shell Extension 元件
• Svchost 的 Service DLL
• Winsock LSP 的 SPI DLL
• Winlogon 的元件
• 安裝 Message Hook DLL
• WH_KEYBOARD
• WH_MOUSE
• WH_GETMESSAGE
• 採用 DLL Injection 方式直接感染特定的 Process

要偵測系統中是否存在 Malware
可以從以下幾個地方著手

1. 有沒有可疑的 Process
2. 有沒有可疑的 AutoRun DLL
3. 是否有利用 Rootkit 隱藏的 Process
4. 是否有利用 Rootkit 隱藏的 File 或 Registry Key

要清除系統中的 Malware
一定要找出 Malware 啟動的方式
不然
每次重開機
Malware 就會再次執行

另外
如果要觀察 Malware 的行為
可從以下幾個方向著手

• Network Inspection
• Process Inspection
• Auto-Startup Inspection
• Rootkit Inspection

以上的資料
很多都來自 Birdman 的上課內容
感謝 Birdman 精彩的教學
真是讓我受益不少啊！