利用這種方法隱藏目錄和文件非常巧妙,原因有三:一是別人想不到資源回收桶中藏有秘密;二是修改註冊表後這些隱藏起來的文件和目錄更隱蔽了,在Windows下根本發現不了;三是即便發現了這些隱藏的目錄和文件,也會由於絕對路徑太長而無法進入該目錄檢視文件。這就讓木馬可以在我們的電腦中「安居樂業」了。
對方要在我們的電腦中建立如此特殊的目錄,必定要進行遠端操作,所以我們平時必須要及時給系統打修正檔,把系統漏洞都堵上,再安裝上網路防火牆,不隨意瀏覽不瞭解的網頁,不隨意檢視陌生的電子郵件,做到這些,對普通用戶來說就會安全多了。
如果發現系統中有這樣特殊的資料夾存在,只要給最外層的目錄改名,比方說將goodluck123改名為g,然後就可以進入下一級目錄,進而可以進入test子目錄,進行相關的操作。當然,您也可以自己編寫一個程序來讀這個目錄。
木馬對文件關聯的利用
我們知道,在註冊表HKEY_LOCAL_MACHINE SoftwareMicrosoftWindowsCurrentVersionRun下可以載入程序,使之開機時自動執行,類似「Run」這樣的子鍵在註冊表中還有幾處,均以「Run」開頭,如RunOnce、RunServices等。除了這種方法,還有一種修改註冊表的方法也可以使程序自啟動。
具體說來,就是更改文件的開啟方式,這樣就可以使程序跟隨您開啟的那種檔案類型一起啟動。舉例來說,開啟註冊表,展開註冊表到HKEY_CLASSES_ROOTexefileshell
opencommand,這裡是exe文件的開啟方式,預設鍵值為:「%1」%*。如果把預設鍵值改為Trojan.exe「%1」%*,您每次執行exe文件,這個Trojan.exe文件就會被執行。
木馬灰鴿子就採用關聯exe文件的開啟方式,而大名鼎鼎的木馬冰河採用的是也與此相似的一招——關聯txt文件。
對付這種隱藏方法,主要是經常檢查註冊表,看文件的開啟方式是否發生了變化。
如果發生了變化,就將開啟方式改回來。
最好能經常制作備份註冊表,發現問題後立即用備份檔案恢復註冊表,既方便、快捷,又安全、省事。
木馬對設備名的利用
大家知道,在Windows下無法以設備名來命名文件或資料夾,這些設備名主要有aux、com1、com2、prn、con、nul等,但Windows 2000/XP有個漏洞可以以設備名來命名文件或資料夾,讓木馬可以躲在那裡而不被發現。
具體方法是:點擊「開始」表單的「執行」,輸入cmd.exe,Enter鍵進入命令提示字元視窗,然後輸入md c:con\指令,可以建立一個名為con的目錄。預設請況下,Windows是無法建立這類目錄的,正是利用了Windows的漏洞我們才可以建立此目錄。
再試試輸入md c:aux\指令,可以建立aux目錄,輸入md c
rn\可以建立prn目錄,輸入md c:com1\目錄可以建立Com1目錄,而輸入md c: ul\則可以建立一個名為nul的目錄。在檔案總管中依次點擊試試,您會發現當我們試圖移除以aux或com1命名的資料夾時,explorer.exe失去了回應,而許多「牧馬人」就是利用這個方法將木馬隱藏在這類特殊的資料夾中,從而達到隱藏、保護木馬程序的目的。
現在,我們可以把文件複製到這個特殊的目錄下,當然,不能直接在Windows中複製,需要採用特殊的方法,在CMD視窗中輸入copy muma.exe \.c:aux\指令,就可以把木馬文件muma.exe複製到C碟下的aux資料夾中,然後點擊「開始」表單中的「執行」,在「執行」中輸入c:aux muam.exe,就會成功啟動該木馬
。我們可以通過點擊資料夾名進入此類特殊目錄,不過,如果您要試圖在檔案總管中移除它,會發現這根本就是徒勞的,Windows會提示找不到該檔案。