病毒木馬入侵招數全記錄

網絡時代可不太平，誰沒有遭遇過病毒或木馬？（計算機愛好者，學習計算機基礎，電腦入門，請到本站http://.，我站同時提供計算機基礎知識教程，計算機基礎知識試題供大家學習和使用），從CIH、I Love You到紅色代碼、Nimda，從BO到冰河，無一不是網友經常懈逅的對象。怎麼避免這些“艷遇”是廣大用戶孜孜以求的目標，不過，“道高一尺，魔高一丈”，“防”永遠是落後的，主動消滅它們才是積極主動的。

要消滅它們，首先就要掌握病毒及木馬是怎麼入侵我們的"愛機"的。有關病毒及木馬的入侵招數的文章很多，但都不太全面，編者偶然間發現了一篇作者不詳，但內容頗為全面的文章，特意整理出來，希望對大家有所幫助。

一、修改批處理

很古老的方法，但仍有人使用。一般通過修改下列三個文件來作案：

Autoexec.bat(自動批處理，在引導系統時執行)

Winstart.bat(在啟動GUI圖形界面環境時執行)

Dosstart.bat(在進入MS-DOS方式時執行)

例如：編輯C:\\windows\\Dosstart.bat，加入：start Notepad，當你進入“MS-DOS方式”時，就可以看到記事本被啟動了。

二、修改系統配置

常使用的方法，通過修改系統配置文件System.ini、Win.ini來達到自動運行的目的，涉及范圍有：

在Win.ini文件中：

[windows]

load=程序名

run=程序名

在System.ini文件中：

[boot]

shell=Explorer.exe

其中修改System.ini中Shell值的情況要多一些，病毒木馬通過修改這裡使自己成為Shell，然後加載Explorer.exe，從而達到控制用戶電腦的目的。

三、借助自動運行功能

這是黑客最新研發成果，之前該方法不過被發燒的朋友用來修改硬盤的圖標而已，如今它被賦予了新的意義，黑客甚至聲稱這是Windows的新BUG。

Windows的自動運行功能確實很爛，早年許多朋友因為自動運行的光盤中帶有CIH病毒而中招，現在不少軟件可以方便地禁止光盤的自動運行，但硬盤呢？其實硬盤也支持自動運行，你可嘗試在D盤根目錄下新建一個Autorun.inf，用記事本打開它，輸入如下內容：

[autorun]

open=Notepad.exe



保存後進入“我的電腦”，按F5鍵刷新一下，然後雙擊D盤盤符，怎麼樣？記事本打開了，而D盤卻沒有打開。

當然，以上只是一個簡單的實例，黑客做得要精密很多，他們會把程序改名為“.exe”(不是空格，而是中文的全角空格，這樣在Autorun.inf中只會看到“open=”而被忽略，此種行徑在修改系統配置時也常使用，如“run=”；為了更好地隱藏自己，其程序運行後，還會替你打開硬盤，讓你難以查覺。

由此可以推想，如果你打開了D盤的共享，黑客就可以將木馬和一個Autorun.inf存入該分區，當Windows自動刷新時，你也就“中獎”了，因此，大家千萬不要共享任何根目錄，當然更不能共享系統分區（一般為C:）。

四、通過注冊表中的Run來啟動

很老套的方法，但80%的黑客仍在使用，通過在Run、RunOnce、RunOnceEx、RunServices、RunServicesOnce中添加鍵值，可以比較容易地實現程序的加載，黑客尤其方便在帶”Once”的主鍵中作手腳，因此帶“Once”的主鍵中的鍵值，在程序運行後將被刪除，因此當用戶使用注冊表修改程序查看時，不會發現異樣。另外，還有這樣的程序：在啟動時刪除Run中的鍵值，而在退出時（或關閉系統時）又添加鍵值，達到隱蔽自己的目的。(這種方法的缺點是：害怕惡意關機或停電，呵呵！)

五、通過文件關聯啟動

很受黑客喜愛的方式，通過EXE文件的關聯(主鍵為：exefile)，讓系統在執行任何程序之前都運行木馬，真的好毒！通常修改的還有txtfile(文本文件的關聯，誰不用用記事本呢？)、regfile(注冊表文件關聯，一般用來防止用戶恢復注冊表，例如讓用戶雙擊.reg文件就關閉計算機)、unkown(未知文件關聯)。為了防止用戶恢復注冊表，用此法的黑客通常還連帶謀殺scanreg.exe、sfc.exe、Extrac32.exe、regedit.exe等程序，阻礙用戶修復。

六、通過API HOOK啟動

這種方法較為高級，通過替換系統的DLL文件，讓系統啟動指定的程序。例如：撥號上網的用戶必須使用Rasapi32.dll中的API函數來進行連接，那麼黑客就會替換這個DLL，當用戶的應用程序調用這個API函數，黑客的程序就會先啟動，然後調用真正的函數完成這個功能（特別提示：木馬可不一定是EXE，還可以是DLL、VXD），這樣既方便又隱蔽（不上網時根本不運行）。中此絕毒的蟲子，只有兩種選擇：Ghost或重裝系統，幸好此毒廖廖無幾，實屬萬蟲之幸！

API的英文全稱為：Application Programming Interface，也就是應用程序編程接口。在Windows程序設計領域發展初期，Windows程序員所能使用的編程工具唯有API函數，這些函數是Windows提供給應用程序與操作系統的接口，他們猶如“積木塊”一樣，可以搭建出各種界面豐富，功能靈活的應用程序。所以可以認為API函數是構築整個Windows框架的基石，在它的下面是Windows的操作系統核心，而它的上面則是所有華麗的Windows應用程序。

七、通過VXD啟動

此法也是高手專用版，通過把木馬寫成VXD形式加載，直接控制系統底層，極為罕見。它們一般在注冊表[HKEY_ LOCAL_MACHINE\\System\\CurrentControlSet\\Services\\VxD]主鍵中啟動，很難發覺，解決方法最好也是用Ghost恢復或重新干淨安裝。 

八、通過浏覽網頁啟動

通過此種途徑有兩種方法：

利用MIME漏洞：這是2001年黑客中最流行的手法，因為它簡單有效，加上寬帶網的流行，令用戶防不勝防，想一想，僅僅是鼠標變一下“沙漏”，木馬就安裝妥當，Internet真是太“方便”了！不過今年有所減少，一方面許多人都改用IE6.0；另一方面，大部分個人主頁空間都不允許上傳.eml文件了。 

MIME被稱為多用途Internet郵件擴展（Multipurpose Internet Mail Extensions），是一種技術規范，原用於電子郵件，現在也可以用於浏覽器。MIME對郵件系統的擴展是巨大的，在它出現前，郵件內容如果包含聲音和動畫，就必須把它變為ASCII碼或把二進制的信息變成可以傳送的編碼標准，而接收方必須經過解碼才可以獲得聲音和圖畫信息。MIME提供了一種可以在郵件中附加多種不同編碼文件的方法，這與原來的郵件是大大不同的。而現在MIME已經成為了HTTP協議標准的一個部分。

九、利用Java applet

劃時代的Java更高效、更方便——不過是悄悄地修改你的注冊表，讓你千百次地訪問黃(黑)色網站，讓你關不了機，讓你……，還可以讓你中木馬。這種方法其實很簡單，先利用HTML把木馬下載到你的緩存中，然後修改注冊表，指向其程序。 

十、利用系統自動運行的程序

這一條主要利用用戶的麻痺大意和系統的運行機制進行，命中率很高。在系統運行過程中，有許多程序是自動運行的，比如：磁盤空間滿時，系統自動運行“磁盤清理”程序(cleanmgr.exe)；啟動資源管理器失敗時，雙擊桌面將自動運行“任務管理器”程序(Taskman.exe)；格式化磁盤完成後，系統將提示使用“磁盤掃描”程序(scandskw.exe)；點擊幫助或按F1時，系統將運行Winhelp.exe或Hh.exe打開幫助文件；啟動時，系統將自動啟動“系統欄”程序(SysTray.exe)、“輸入法”程序(internat.exe)、“注冊表檢查” 程序(scanregw.exe)、“計劃任務”程序(Mstask.exe)、“電源管理”程序等。 

這為惡意程序提供了機會，通過覆蓋這些文件，不必修改任何設置系統就會自動執行它們！而用戶在檢查注冊表和系統配置時不會引起任何懷疑，例如“注冊表檢查” 程序的作用是啟動時檢查和備份注冊表，正常情況不會有任何提示，那麼它被覆蓋後真可謂是“神不知、鬼不覺”。當然，這也許會被“系統文件檢查器”檢查（但勤快的人不多）出來。 

黑客還有一高招“偷天換日”！不覆蓋程序也可達到這個目的，方法是：利用System目錄比Windows目錄優先的特點，以相同的文件名，將程序放到System目錄中。你可以試試，將Notepad.exe(記事本)復制到System目錄中，並改名為Regedit.exe(注冊表編輯器)，然後從“開始”→“運行”中，輸入“Regedit”回車，你會發現運行的竟然是那個假冒的Not