超級揭露---木馬的所有隱藏啟動方式
超級揭露---木馬的所有隱藏啟動方式
超級揭露---木馬的所有隱藏啟動方式 木馬的最大的特點之一就是它一定是要和系統一起啟動而啟動,否則它就完全失去了意義!!! 方法一:註冊表啟動項:這個大家可能比較熟悉,請大家注意以下的註冊表鍵值: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows \CurrentVersion\RunHKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce 如圖1: 這裡只要有「run」敏感字眼的都要仔細) 方法二:利用系統文件 可以利用的文件有Win.ini ; system.ini ; Autoexec.bat ; Config.sys. 當系統啟動的時候,上述這些文件的一些內容是可以隨著系統一起載入的,從而可以被木馬利用 用文本方式打開 C:\Windows 下面的system.ini文件 我們會看到 如圖2: 其它的幾個所述文件也是經常被用來利用,從而達到開機啟動的目的的; 方法三:系統啟動組 依次點開「開始」------「程式」------「啟動」 如圖3: WINXP: C:\Documents and Settings\gillispie\[開始]表菜單\程式\啟動 WIN98: C:\WINDOWS\Start Menu\Programs\啟動 對應的註冊表鍵值: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders 如圖4: 方法四:利用文件關聯: 例如:正常情況下txt文件的打開方式為Notepad.exe文件,如果一旦中了文件關聯類的木馬,這樣打開一個txt文件,原本應該用Notepad打開該文件的,現在卻變成了啟動木馬程式了。 解決文件的關聯問題有兩種方法: 1修改註冊表: 如果木馬是關聯的EXE文件: 找到鍵值: HKEY_CLASSES_ROOT\exefile\shell\open\command HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command 如圖5: 2進入控制面版,選擇資料夾選項-----------文件類型 如圖6: 然後點擊"高階" 在彈出的表菜單中選擇「應用程式」 方法五:利用服務載入 系統要正常的執行,就少不了一些服務,一些木馬通過載入服務來達到隨系統啟動的目的 控制台--------管理工具------服務 如圖7: 通過 net start 服務名(開啟服務) net stop 服務名(關閉服務) |
所有時間均為台北時間。現在的時間是 10:27 AM。 |
Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2024, Jelsoft Enterprises Ltd.
『服務條款』
* 有問題不知道該怎麼解決嗎?請聯絡本站的系統管理員 *