psac 2006-08-18 08:45 PM 超級揭露---木馬的所有隱藏啟動方式   超級揭露---木馬的所有隱藏啟動方式 超級揭露---木馬的所有隱藏啟動方式 木馬的最大的特點之一就是它一定是要和系統一起啟動而啟動，否則它就完全失去了意義！！！ 方法一：註冊表啟動項:這個大家可能比較熟悉，請大家注意以下的註冊表鍵值： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows \CurrentVersion\RunHKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce 如圖1： 這裡只要有「run」敏感字眼的都要仔細) 方法二：利用系統文件 可以利用的文件有Win.ini ; system.ini ; Autoexec.bat ; Config.sys. 當系統啟動的時候，上述這些文件的一些內容是可以隨著系統一起載入的，從而可以被木馬利用 用文本方式打開 C:\Windows 下面的system.ini文件 我們會看到 如圖2： 其它的幾個所述文件也是經常被用來利用，從而達到開機啟動的目的的； 方法三：系統啟動組 依次點開「開始」------「程式」------「啟動」 如圖3： WINXP: C:\Documents and Settings\gillispie\[開始]表菜單\程式\啟動 WIN98: C:\WINDOWS\Start Menu\Programs\啟動 對應的註冊表鍵值： HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders 如圖4： 方法四：利用文件關聯： 例如：正常情況下txt文件的打開方式為Notepad.exe文件，如果一旦中了文件關聯類的木馬，這樣打開一個txt文件，原本應該用Notepad打開該文件的，現在卻變成了啟動木馬程式了。 解決文件的關聯問題有兩種方法： １修改註冊表： 如果木馬是關聯的EXE文件： 找到鍵值： HKEY_CLASSES_ROOT\exefile\shell\open\command HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command 如圖5： ２進入控制面版，選擇資料夾選項-----------文件類型 如圖6： 然後點擊"高階" 在彈出的表菜單中選擇「應用程式」 方法五：利用服務載入 系統要正常的執行，就少不了一些服務，一些木馬通過載入服務來達到隨系統啟動的目的 控制台--------管理工具------服務 如圖7： 通過 net start 服務名（開啟服務） net stop 服務名（關閉服務）

Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2024, Jelsoft Enterprises Ltd.

『服務條款』

* 有問題不知道該怎麼解決嗎？請聯絡本站的系統管理員 *