“黑客之门”后门的魅力：感染与加载

　　感染之后的TestLoad.exe的结构如图2所示：

图 2

　　可以看出感染之后的TestLoad.exe的引入表多了一个Hkdoordll.dll引入库。细心观察感染之后的TestLoad.exe的引入表地址（Import Table Address ITA）已经被改变，原来的ITA为0x000043FC，感染之后为0x0000477E。

　　为了进一步看清除感染前后的文件的变化，这里使用LordPE.exe比较感染前后的TestLoad.exe的引入表函数，比较结果如图3所示：

图 3

　　小提示：使用LordPE.exe查看exe文件的引入表函数方法是：点击PE Edito打开相应的文件，接着点击Directories，弹出对话框后点击Import Table右边的三个点，这样就可以查看一个可执行文件的引入表了。

　　可以看出，只是在引入表链表中添加了一个相应的Hkdoordll.dll，这样当被感染的程序再次运行时，由系统的程序装载器搜索Hkdoordll.dll，并将其引用到被感染程序的地址空间，后门就运行起来了。黑客之门的这种子启动方式值得学习，比较灵巧。

　　搞明白了黑客之门的启动方式后，我们就可以手动清除它了，这里切不可将Hkdoordll.dll直接删除，这样可能直接导致系统崩溃。因为系统在加载被感染的程序（假如为Services.exe）时发现没有找到Hkdoordll.dll，Services.exe将不能被装载，如果被感染的是系统关键进程的话，那么系统将不能正确的启动。清除的时候我们可以去别的机器上（相同系统与补丁）找一个Services.exe，将被感染的程序命名为Services2.exe，将Services.exe拷贝到System32文件夹下，重启电脑，删除Hkdoordll.dll就清除黑客之门了。