史萊姆論壇 - 病毒、木馬入侵招數逐個曝光

病毒、木馬入侵招數逐個曝光

　1.修改批次處理
　　很古老的方法，但仍有人使用。一般通過修改下列三個文件來作案：
　　Autoexec.bat(自動批次處理，在啟始系統時執行)
　　Winstart.bat(在啟動GUI圖形界面環境時執行)
　　Dosstart.bat(在進入MS-DOS方式時執行)
　　例如：編輯C:windowsDosstart.bat，加入：start Notepad，當你進入「MS-DOS方式」時，就可以看到記事本被啟動了。

　　2.修改系統組態
　　常使用的方法，通過修改系統組態文件System.ini、Win.ini來達到自動執行的目的，涉及範圍有：
　　在Win.ini文件中：
　　[windows]
　　load=程序名
　　run=程序名

　　在System.ini文件中：

　　[boot]

　　shell=Explorer.exe

　　其中修改System.ini中Shell值的情況要多一些，病毒木馬通過修改這裡使自己成為Shell，然後載入Explorer.exe，從而達到控制用戶電腦的目的。

　　3.借助自動執行功能

　　這是黑客最新研發成果，之前該方法不過被發燒的朋友用來修改硬碟的圖示而已，如今它被賦予了新的意義，黑客甚至聲稱這是Windows的新BUG。

　　Windows的自動執行功能確實很爛，早年許多朋友因為自動執行的光碟中帶有CIH病毒而中招，現在不少軟體可以方便地禁止光碟的自動執行，但硬碟呢？其實硬碟也支持自動執行，你可嘗試在D碟根目錄下新增一個Autorun.inf，用記事本開啟它，輸入如下內容：

　　[autorun]

　　open=Notepad.exe

　　儲存後進入「我的電腦」，按F5鍵重新整理一下，然後雙按D碟磁碟代號，怎麼樣？記事本開啟了，而D碟卻沒有開啟。

　　當然，以上只是一個簡單的實例，黑客做得要精密很多，他們會把程序改名為「　.exe」(不是空格，而是中文的全形空格，這樣在Autorun.inf中只會看到「open=　」而被忽略，此種行徑在修改系統組態時也常使用，如「run=　」為了更好地隱藏自己，其程序執行後，還會替你開啟硬碟，讓你難以查覺。

　　由此可以推想，如果你開啟了D碟的共享，黑客就可以將木馬和一個Autorun.inf存入該分區，當Windows自動重新整理時，你也就「中獎」了，因此，大家千萬不要共享任何根目錄，當然更不能共享系統分區（一般為C:）。

　　4.通過註冊表中的Run來啟動

　　很老套的方法，但80%的黑客仍在使用，通過在Run、RunOnce、RunOnceEx、RunServices、RunServicesOnce中增加鍵值，可以比較容易地實現程序的載入，黑客尤其方便在帶」Once」的主鍵中作手腳，因此帶「Once」的主鍵中的鍵值，在程序執行後將被移除，因此當用戶使用註冊表修改程序檢視時，不會發現異樣。

另外，還有這樣的程序：在啟動時移除Run中的鍵值，而在結束時（或關閉系統時）又增加鍵值，達到隱蔽自己的目的。(這種方法的缺點是：害怕惡意關機或停電，呵呵！)

　　5.通過文件關聯啟動

　　很受黑客喜愛的方式，通過EXE文件的關聯(主鍵為：exefile)，讓系統在執行任何程序之前都執行木馬，真的好毒！通常修改的還有txtfile(文本文件的關聯，誰不用用記事本呢？)、regfile(註冊表文件關聯，一般用來防止用戶恢復註冊表，例如讓用戶雙按.reg文件就電腦關機)、unkown(未知文件關聯)。為了防止用戶恢復註冊表，用此法的黑客通常還連帶謀殺scanreg.exe、sfc.exe、Extrac32.exe、regedit.exe等程序，阻礙用戶修復。

　　6.通過API HOOK啟動

　　這種方法較為進階，通過取代系統的DLL文件，讓系統啟動指定的程序。例如：撥號上網的用戶必須使用Rasapi32.dll中的API函數來進行連接，那麼黑客就會取代這個DLL，當用戶的應用程式使用這個API函數，黑客的程序就會先啟動，然後使用真正的函數完成這個功能（特別提示：木馬可不一定是EXE，還可以是DLL、VXD），這樣既方便又隱蔽（不上網時根本不執行）。中此絕毒的蟲子，只有兩種選項：Ghost或重裝系統，幸好此毒廖廖無幾，實屬萬蟲之幸！

　　API的英文全稱為：Application Programming Interface，也就是應用程式編程接頭。在Windows程序設計領域發展初期，Windows程序員所能使用的編程工具唯有API函數，這些函數是Windows提供給應用程式與操作系統的接頭，他們猶如「積木塊」一樣，可以搭建出各種界面豐富，功能靈活的應用程式。

所以可以認為API函數是構築整個Windows框架的基石，在它的下面是Windows的操作系統核心，而它的上面則是所有華麗的Windows應用程式。

　　7.通過VXD啟動

　　此法也是高手專用版，通過把木馬寫成VXD形式載入，直接控制系統底層，極為罕見。它們一般在註冊表[HKEY_ LOCAL_MACHINESystemCurrentControlSetServicesVxD]主鍵中啟動，很難發覺，解決方法最好也是用Ghost恢復或重新乾淨安裝。

　　8.通過瀏覽網頁啟動

　　通過此種途徑有兩種方法：

　　利用MIME漏洞：這是2001年黑客中最流行的手法，因為它簡單有效，加上寬瀕網的流行，令用戶防不勝防，想一想，僅僅是滑鼠變一下「沙漏」，木馬就安裝妥當，Internet真是太「方便」了！不過今年有所減少，一方面許多人都改用IE6.0；另一方面，大部分個人主頁空間都不允許上傳.eml文件了。

　　MIME被稱為多用途Internet郵件增強（Multipurpose Internet Mail Extensions），是一種技術規範，原用於電子郵件，現在也可以用於瀏覽器。

MIME對郵件系統的增強是巨大的，在它出現前，郵件內容如果包含聲音和動畫，就必須把它變為ASCII碼或把二進制的資訊變成可以傳送的編碼標準，而接收方必須經過解碼才可以獲得聲音和圖畫資訊。

MIME提供了一種可以在郵件中附加多種不同編碼文件的方法，這與原來的郵件是大大不同的。而現在MIME已經成為了HTTP傳輸協定標準的一個部分。

　　9.利用Java applet

　　劃時代的Java更高效、更方便——不過是悄悄地修改你的註冊表，讓你千百次地訪問黃(黑)色網站，讓你關不了機，讓你……，還可以讓你中木馬。這種方法其實很簡單，先利用HTML把木馬下載到你的快取中，然後修改註冊表，指向其程序。

　　10.利用系統自動執行的程序

　　這一條主要利用用戶的麻痺大意和系統的執行機制進行，命中率很高。

在系統執行程序中，有許多程序是自動執行的，比如：磁牒空間滿時，系統自動執行「清理磁碟」程序(cleanmgr.exe)；啟動檔案總管失敗時，雙按桌面將自動執行「工作管理器」程序(Taskman.exe)；格式化磁牒完成後，系統將提示使用「磁牒掃瞄」程序(scandskw.exe)；點擊說明或按F1時，系統將執行Winhelp.exe或Hh.exe開啟求助文件；啟動時，系統將自動啟動「系統欄」程序(SysTray.exe)、「輸入法」程序(internat.exe)、「註冊表檢查」程序(scanregw.exe)、「計劃工作」程序(Mstask.exe)、「電源管理」程序等。

　　這為惡意程序提供了機會，通過覆蓋這些文件，不必修改任何設定系統就會自動執行它們！而用戶在檢查註冊表和系統組態時不會引起任何懷疑，例如「註冊表檢查」程序的作用是啟動時檢查和制作備份註冊表，正常情況不會有任何提示，那麼它被覆蓋後真可謂是「神不知、鬼不覺」。當然，這也許會被「系統檔案檢查器」檢查（但勤快的人不多）出來。

　　黑客還有一高招「偷天換日」！不覆蓋程序也可達到這個目的，方法是：利用System目錄比Windows目錄優先的特點，以相同的檔案名，將程序放到System目錄中。

你可以試試，將Notepad.exe(記事本)複製到System目錄中，並改名為Regedit.exe(註冊表編輯器)，然後從「開始」→「執行」中，輸入「Regedit」Enter鍵，你會發現執行的竟然是那個假冒的Notepad.exe！同樣，如果黑客將程序放到System中，然後在執行時使用真正的Regedit，誰知道呢？
(這種方法由於大部分目標程序不是經常被系統使用，因此常被黑客用來作為被移除後的恢復方法，如果某個東東被移除了又出現，不妨檢查檢查這些文件。)

　　 11.還有什麼「高招」

　　黑客還常常使用名字欺騙技術和執行假象與之配合。名字欺騙技術如上述的全形空格主檔案名「　.exe」就是一例，另外一般的有在修改文件關聯時，使用「」（ASCII值255，輸入時先按下Alt鍵，然後在小鍵碟上輸入255）作為檔案名，當這個字串出現在註冊表中時，人們往往很難發現它的存在。此外還有利用字串相似性的，
如：「Systray.exe」和「5ystray」(5與大寫S相似)；長度相似性的，如：「Explorer.exe」和「Explore.exe」(後者比前者少一個字母，心理學實驗證明，人的第一感覺只識別前四個字母，並對長度不敏感)；執行假象則是指執行某些木馬時，程序指出一個虛假的提示來欺騙用戶。

一個執行後什麼都沒有的程序，地球人都知道不是什麼好東西；但對於一個提示「記憶體不足的程序，恐怕還在埋怨自己的P4太差哩