萬盛學電腦網

 萬盛學電腦網 >> 安全資訊防護 >> 木馬隱藏啟動方式解密

木馬隱藏啟動方式解密

  木馬的最大的特點之一就是它一定是要和系統一起啟動而啟動,否則它就完全失去了意義!!!

  方法一:注冊表啟動項:這個大家可能比較熟悉,請大家注意以下的注冊表鍵值:

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows

  \CurrentVersion\RunHKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

  }

  這裡只要有“run”敏感字眼的都要仔細)

  方法二:利用系統文件

  可以利用的文件有Win.ini ; system.ini ; Autoexec.bat ; Config.sys. 當系統啟動的時候,上述這些文件的一些內容是可以隨著系統一起加載的,從而可以被木馬利用

  用文本方式打開 C:\Windows 下面的system.ini文件 我們會看到

  其它的幾個所述文件也是經常被用來利用,從而達到開機啟動的目的的;

  方法三:系統啟動組

  依次點開“開始”------“程序”------“啟動”

  WINXP: C:\Documents and Settings\gillispie\[開始]菜單\程序\啟動

  WIN98: C:\WINDOWS\Start Menu\Programs\啟動

  對應的注冊表鍵值:

  HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders

  方法四:利用文件關聯:

  例如:正常情況下txt文件的打開方式為Notepad.exe文件,如果一旦中了文件關聯類的木馬,這樣打開一個txt文件,原本應該用Notepad打開該文件的,現在卻變成了啟動木馬程序了。

  解決文件的關聯問題有兩種方法:

  ①修改注冊表:

  如果木馬是關聯的EXE文件:

  找到鍵值:

  HKEY_CLASSES_ROOT\exefile\shell\open\command

  HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command

  ②進入控制面版,選擇文件夾選項-----------文件類型

  然後點擊"高級" 在彈出的菜單中選擇“應用程序

  方法五:利用服務加載

  系統要正常的運行,就少不了一些服務,一些木馬通過加載服務來達到隨系統啟動的目的

  控制面板--------管理工具------服務

  通過 net start 服務名(開啟服務)

  net stop 服務名(關閉服務)

 

copyright © 萬盛學電腦網 all rights reserved