萬盛學電腦網

 萬盛學電腦網 >> 健康知識 >> 完全解析木馬駐留系統的方式

完全解析木馬駐留系統的方式

  木馬病毒,我們大家都是非常的熟悉,這個病毒傳播危害大,那麼它都通過那些方式傳播的你知道嗎?  

  第一招:利用系統啟動文件

  1 注冊表 CurrentUser \ SoftWare \ Microsoft \ Windows \ CurrentVersion \ 下的所有run有關的子鍵

  2 注冊表 LocalMachine \ SoftWare \ Microsoft \ Windows \ CurrentVersion \ 下的所有run有關的子鍵

  3 注冊表 CurrentUser \ SoftWare \ Microsoft \ Windows NT \ CurrentVersion \ 鍵名為load的字符型數據

  4 注冊表 LocalMachine \ SoftWare \ Microsoft \ Windows NT \ CurrentVersion \ 鍵名為load的字符型數據

  第二招:關聯類型文件使木馬運行

  在業內著名的木馬冰河就是這樣啟動的,它關聯的是exe類型的文件,方法如下:(以下方法是我在我的win2003中測試通過的)

  注冊表 ClassRoot 下的.exe 文件打開方式為exefile,我們就找到exefile子鍵,然後exefile該鍵下有一個shell子鍵,在shell子鍵下有open子鍵,在open下有command子鍵,command裡有default鍵,value為"%1" %* 我們把它改變為 木馬路徑 "%1" %* 就可以了

  當然win2000 或 win98中是不一樣的 我剛才測試了 冰河作者看來也是心狠手辣啊

  第三招:文件捆綁使木馬運行

  捆綁和關聯文件不同,關聯是修改注冊表,但捆綁類似於病毒的“感染”,就是把木馬的進程感染到其他的執行文件上,業內著名木馬“網絡公牛 - Netbull”就是利用這種方法進行啟動。

  網絡公牛服務端名稱newserver.exe,運行後自動脫殼到c:\windows\system\checkdll.exe目錄下,下次開機自動運行,同時服務端在運行時會自動捆綁以下文件:

  win9x: notepad.exe write.exe regedit.exe winmine.exe winhelp.exe

  winnt: notepad.exe regedit.exe reged32.exe drwtsn32.exe winmine.exe

  並且自動搜索系統啟動項程序,捆綁之。比如qq.exe realplay.exe

  除非把以上文件全部刪除,否則無法清除,但系統文件刪除後系統就無法正常運行,所以大多數人只能重裝系統。確實牛。

  第四招: 進程保護

  兩個木馬進程,互相監視,發現對方被關閉後啟動對方。技術其實不神秘,方法如下:

while (true){System.Threading.Thread.Sleep(500); //檢查對方進程是否關閉,關閉的話再打開。}

  第五招:巧用啟動文件夾

  開始菜單的啟動文件夾內的文件在系統啟動後會隨系統啟動,假如將一個exe文件或exe文件的快捷方式復制到啟動文件夾內,太明顯,但設置隱藏屬性後不會被系統啟動。

  有一個辦法,將啟動文件夾改名為啟動a,並將該文件隱藏,然後再新建一個啟動文件夾,,將原啟動文件夾內的所有內容復制到新建的啟動文件夾,這樣就可以了。(其實系統還是會啟動原來的啟動文件夾內的內rogn,也就是現在被改為"啟動a"的文件夾,而現在我們新建的"啟動"文件夾只是一個擺設而已,因為在這裡的"啟動a"對應著注冊表local_machine\software\microsoft\windows\currentversion\explorer\startmenu內的common startup鍵值,當我們更該原來系統的啟動文件夾的名字為"啟動a"的時候該鍵值也會改為“C:\Documents and Settings\All Users\開始\Programs\啟動a”)

  另外可在local_machine\software\microsoft\windows\currentversion下建立RunServices子鍵來實現自啟動,和run不同,run是系統啟動後加載,runservices是系統登錄時就啟動

  在系統根目錄下放置Explorer.exe文件,在Explorer.exe文件中去啟動正常的Explorer.exe文件,可以在C盤和D盤下都放上。

copyright © 萬盛學電腦網 all rights reserved