木馬如何利用文件關聯和設置名

　　我們知道，在注冊表HKEY_LOCAL_MACHINE SoftwareMicrosoftWindowsCurrentVersionRun下可以加載程序http://.，使之開機時自動運行，類似“Run”這樣的子鍵在注冊表中還有幾處，均以“Run”開頭，如RunOnce、RunServices等。除了這種方法，還有一種修改注冊表的方法也可以使程序自啟動。

　　具體說來，就是更改文件的打開方式，這樣就可以使程序跟隨您打開的那種文件類型一起啟動。舉例來說，打開注冊表，展開注冊表到HKEY_CLASSES_ROOTexefileshell

　　opencommand，這裡是exe文件的打開方式，默認鍵值為：“%1”%*。如果把默認鍵值改為Trojan.exe“%1”%*，您每次運行exe文件，這個Trojan.exe文件就會被執行。Href="http://www.pcdu.net/anquan/Trojan/">木馬灰鴿子就采用關聯exe文件的打開方式，而大名鼎鼎的href="http://www.pcdu.net/anquan/Trojan/">木馬冰河采用的是也與此相似的一招——關聯txt文件。

　　對付這種隱藏方法，主要是經常檢查注冊表，看文件的打開方式是否發生了變化。如果發生了變化，就將打開方式改回來。最好能經常備份注冊表，發現問題後立即用備份文件恢復注冊表，既方便、快捷，又安全、省事。

　　href="http://www.pcdu.net/anquan/Trojan/">木馬對設備名的利用

　　大家知道，在Windows下無法以設備名來命名文件或文件夾，這些設備名主要有aux、com1、com2、prn、con、nul等，但Windows 2000/XP有個漏洞可以以設備名來命名文件或文件夾，讓href="http://www.pcdu.net/anquan/Trojan/">木馬可以躲在那裡而不被發現。

　　具體方法是：點擊“開始”菜單的“運行”，輸入cmd.exe，回車進入命令提示符窗口，然後輸入md c:con\命令，可以建立一個名為con的目錄。默認請況下，Windows是無法建立這類目錄的，正是利用了Windows的漏洞我們才可以建立此目錄。再試試輸入md c:aux\命令，可以建立aux目錄，輸入md c:prn\可以建立prn目錄，輸入md c:com1\目錄可以建立Com1目錄，而輸入md c: ul\則可以建立一個名為nul的目錄。在資源管理器中依次點擊試試，您會發現當我們試圖打開以aux或com1命名的文件夾時，explorer.exe失去了響應，而許多“牧馬人”就是利用這個方法將href="http://www.pcdu.net/anquan/Trojan/">木馬隱藏在這類特殊的文件夾中，從而達到隱藏、保護href="http://www.pcdu.net/anquan/Trojan/">木馬程序的目的。

　　現在，我們可以把文件復制到這個特殊的目錄下，當然，不能直接在Windows中復制，需要采用特殊的方法，在CMD窗口中輸入copy muma.exe \.c:aux\命令，就可以把href="http://www.pcdu.net/anquan/Trojan/">木馬文件muma.exe復制到C盤下的aux文件夾中，然後點擊“開始”菜單中的“運行”，在“運行”中輸入c:aux muam.exe，就會成功啟動該href="http://www.pcdu.net/anquan/Trojan/">木馬。我們可以通過點擊文件夾名進入此類特殊目錄，不過，如果您要試圖在資源管理器中刪除它，會發現這根本就是徒勞的，Windows會提示找不到該文件。

木馬如何利用文件關聯和設置名.