木馬啟動地方又三處

[psac]

木馬啟動地方又三處



Hkey_current_user/software/microsoft/windows nt/currentversion /windows 建一個字元串名為load鍵值為自啟動程序的路徑但是要注意短檔案名規則，如c:/program files 應為c:/progra~1
這種方式用最佳化大師看不到
----------2--------------------
另一個註冊表可以加啟動項的位置
HKEY_LOCAL_MACHINE/SHOFTWARE/Microsoft/WindowsNT/CurrentVersion/Winlogon 裡面的shell建值在Explorer.exe的後面加上我門程序的路徑 這樣我門的程序就可以隨系統啟動了。
比如我門的c:/windows/system32/下有個hehe.exe木馬。

-------3-------------------------
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Winlogon，找到「Userinit」這個鍵值，這個鍵值預設為c:/WINNT/system32/userinit.exe，後面加路徑，再加逗號也可以


木馬對文件關聯的利用

　　我們知道，在註冊表HKEY_LOCAL_MACHINE SoftwareMicrosoftWindowsCurrentVersionRun下可以載入程序，使之開機時自動執行，類似「Run」這樣的子鍵在註冊表中還有幾處，均以「Run」開頭，如RunOnce、RunServices等。除了這種方法，還有一種修改註冊表的方法也可以使程序自啟動。

　　具體說來，就是更改文件的開啟方式，這樣就可以使程序跟隨您開啟的那種檔案類型一起啟動。舉例來說，開啟註冊表，展開註冊表到HKEY_CLASSES_ROOTexefileshell
opencommand，這裡是exe文件的開啟方式，預設鍵值為：「%1」%*。如果把預設鍵值改為Trojan.exe「%1」%*，您每次執行exe文件，這個Trojan.exe文件就會被執行。木馬灰鴿子就採用關聯exe文件的開啟方式，而大名鼎鼎的木馬冰河採用的是也與此相似的一招——關聯txt文件。

　　對付這種隱藏方法，主要是經常檢查註冊表，看文件的開啟方式是否發生了變化。如果發生了變化，就將開啟方式改回來。最好能經常制作備份註冊表，發現問題後立即用備份檔案恢復註冊表，既方便、快捷，又安全、省事。


木馬對設備名的利用

　　大家知道，在Windows下無法以設備名來命名文件或資料夾，這些設備名主要有aux、com1、com2、prn、con、nul等，但Windows 2000/XP有個漏洞可以以設備名來命名文件或資料夾，讓木馬可以躲在那裡而不被發現。

　　具體方法是：點擊「開始」表單的「執行」，輸入cmd.exe，Enter鍵進入命令提示字元視窗，然後輸入md c:con/指令，可以建立一個名為con的目錄。預設請況下，Windows是無法建立這類目錄的，正是利用了Windows的漏洞我們才可以建立此目錄。再試試輸入md c:aux/指令，可以建立aux目錄，輸入md crn/可以建立prn目錄，輸入md c:com1/目錄可以建立Com1目錄，而輸入md c: ul/則可以建立一個名為nul的目錄。在檔案總管中依次點擊試試，您會發現當我們試圖開啟以aux或com1命名的資料夾時，explorer.exe失去了回應，而許多「牧馬人」就是利用這個方法將木馬隱藏在這類特殊的資料夾中，從而達到隱藏、保護木馬程序的目的。

　　現在，我們可以把文件複製到這個特殊的目錄下，當然，不能直接在Windows中複製，需要採用特殊的方法，在CMD視窗中輸入copy muma.exe /.c:aux/指令，就可以把木馬文件muma.exe複製到C碟下的aux資料夾中，然後點擊「開始」表單中的「執行」，在「執行」中輸入c:aux muam.exe，就會成功啟動該木馬。我們可以通過點擊資料夾名進入此類特殊目錄，不過，如果您要試圖在檔案總管中移除它，會發現這根本就是徒勞的，Windows會提示找不到該檔案。

　　由於使用del c:aux/指令可以移除其中的muma.exe文件，所以，為了達到更好的隱藏和保護效果，下木馬者會把muma.exe文件也改名，讓我們很難移除。具體方法就是在複製木馬文件到aux資料夾時使用指令copy muma.exe /.c:con.exe，就可以把木馬文件muma.exe複製到aux目錄中，並且改名為con.exe，而con.exe文件是無法用普通方法移除的。

　　可能有的朋友會想，這個con.exe文件在「開始」表單的「執行」中無法執行啊。其實不然，只要在指令行方式下輸入cmd /c /.c:con就可以執行這個程序了。在執行時會有一個cmd視窗一閃而過，下木馬者一般來說會對其進行改進，方法有很多，可以利用開機指令碼，也可以利用cmd.exe的autorun：在註冊表HKEY_LOCAL_ MACHINESoftwareMicrosoftCommand Processor下建一個字串AutoRun，值為要執行的.bat文件或.cmd文件的路徑，如c:winntsystem32auto.cmd，如果建立相應的文件，它的內容為@/.c:con，就可以達到隱蔽的效果。

　　對於這類特殊的資料夾，發現後我們可以採用如下方法來移除它：先用del /.c:con.exe指令移除con.exe文件（該檔案假設就是其中的木馬檔案名），然後再用rd /.c:aux指令移除aux資料夾即可。

　　好了，文章到這裡就結束了。由於水準有限，文中如有不正確或值得商榷的地方歡迎大家批評指點，另外，寫作時曾參閱過網上高手們的帖子，受益匪淺，在此一併謝過！


不過，AutoRun不僅能套用於光碟中，同樣也可以套用於硬碟中（要注意的是，AutoRun.inf必須存放在磁牒根目錄下才能起作用）。讓我們一起看看AutoRun.inf文件的內容吧。

　　開啟記事本，新增一個文件，將其命名為AutoRun.inf，在AutoRun.inf中按鍵輸入以下內容：

[AutoRun]
Icon=C:WindowsSystemShell32.DLL,21
Open=C:Program FilesACDSeeACDSee.exe
其中，「[AutoRun]」是必須的固定格式，一個標準的AutoRun文件必須以它開頭，目的是告訴系統執行它下面幾行的指令；第二行「Icon=C:WindowsSystemShell32.DLL,21」是給硬碟或光碟設定一個個性化的圖示，「Shell32.DLL」是包含很多Windows圖示的系統檔案，「21」表示顯示編號為21的圖示，無數位則預設採用文件中的第一個圖示；第三行「Open=C:Program FilesACDSeeACDSee.exe」指出要執行程序的路徑及其檔案名。

　　如果把Open行換為木馬文件，並將這個AutoRun.inf文件設定為隱藏內容，我們點擊硬碟時就會啟動木馬。

　　為防止遭到這樣的「埋伏」，可以禁止硬碟AutoRun功能。在「開始」表單的「執行」中輸入Regedit，開啟註冊表編輯器，展開到HKEY_CURRENT_USERSoftware MicrosoftWindowsCurrentVersionPoliciesExploer主鍵下，在右側視窗中找到「NoDriveTypeAutoRun」，就是它決定了是否執行CDROM或硬碟的AutoRun功能。將其鍵值改為9D,00,00,00就可以關閉硬碟的AutoRun功能，如果改為B5,00,00,00則禁止光碟的AutoRun功能。修改後重新啟動電腦，設定就會生效。