史萊姆論壇

史萊姆論壇 (http://forum.slime.com.tw/)
-   Hacker/Cracker 及加解密技術文件 (http://forum.slime.com.tw/f132.html)
-   -   木馬病毒如何利用文件關聯和設置名感染 (http://forum.slime.com.tw/thread183475.html)

psac 2006-08-18 10:58 PM

木馬病毒如何利用文件關聯和設置名感染
 
木馬病毒如何利用文件關聯和設置名感染

我們知道,在註冊表HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersionRun下可以載入程式,使之開機時自動執行,類似「Run」這樣的子鍵在註冊表中還有幾處,均以「Run」開頭,如RunOnce、RunServices等。除了這種方法,還有一種修改註冊表的方法也可以使程式自啟動。


具體說來,就是更改文件的打開方式,這樣就可以使程式跟隨您打開的那種文件類型一起啟動。舉例來說,打開註冊表,展開註冊表到HKEY_CLASSES_ROOTexefileshell opencommand,這裡是exe文件的打開方式,預定鍵值為:「%1」%*。如果把預定鍵值改為Trojan.exe「%1」%*,您每次執行exe文件,這個Trojan.exe文件就會被執行。木馬灰鴿子就採用關聯exe文件的打開方式,而大名鼎鼎的木馬冰河採用的是也與此相似的一招——關聯txt文件。


對付這種隱藏方法,主要是經常檢查註冊表,看文件的打開方式是否發生了變化。如果發生了變化,就將打開方式改回來。最好能經常備份註冊表,發現問題後立即用備份文件恢復註冊表,既方便、快捷,又安全、省事。


木馬對設備名的利用


大家知道,在Windows下無法以設備名來命名文件或資料夾,這些設備名主要有aux、com1、com2、prn、con、nul等,但Windows 2000/XP有個漏洞可以以設備名來命名文件或資料夾,讓木馬可以躲在那裡而不被發現。


具體方法是:點擊「開始」表菜單的「執行」,輸入cmd.exe,Enter鍵進入命令提示字元視窗,然後輸入md c:con命令,可以建立一個名為con的目錄。預定請況下,Windows是無法建立這類目錄的,正是利用了Windows的漏洞我們才可以建立此目錄。再試試輸入md c:aux命令,可以建立aux目錄,輸入md c:prn可以建立prn目錄,輸入md c:com1目錄可以建立Com1目錄,而輸入md c: nul則可以建立一個名為nul的目錄。在視窗檔案總管中依次點擊試試,您會發現當我們試圖打開以aux或com1命名的資料夾時,explorer.exe失去了響應,而許多「牧馬人」就是利用這個方法將木馬隱藏在這類特殊的資料夾中,從而達到隱藏、保護木馬程式的目的。


現在,我們可以把文件複製到這個特殊的目錄下,當然,不能直接在Windows中複製,需要採用特殊的方法,在CMD視窗中輸入copy muma.exe .c:aux命令,就可以把木馬文件muma.exe複製到C硬碟下的aux資料夾中,然後點擊「開始」表菜單中的「執行」,在「執行」中輸入c:aux muam.exe,就會成功啟動該木馬。我們可以通過點擊資料夾名進入此類特殊目錄,不過,如果您要試圖在視窗檔案總管中刪除它,會發現這根本就是徒勞的,Windows會提示找不到該文件。


由於使用del c:aux命令可以刪除其中的muma.exe文件,所以,為了達到更好的隱藏和保護效果,下木馬者會把muma.exe文件也改名,讓我們很難刪除。具體方法就是在複製木馬文件到aux資料夾時使用命令copy muma.exe .c:con.exe,就可以把木馬文件muma.exe複製到aux目錄中,並且改名為con.exe,而con.exe文件是無法用普通方法刪除的。


可能有的朋友會想,這個con.exe文件在「開始」表菜單的「執行」中無法執行啊。其實不然,只要在命令行方式下輸入cmd /c .c:con就可以執行這個程式了。在執行時會有一個cmd視窗一閃而過,下木馬者一般來說會對其進行改進,方法有很多,可以利用開機腳本,也可以利用cmd.exe的autorun:在註冊表HKEY_LOCAL_ MACHINESoftwareMicrosoftCommand Processor下建一個字串AutoRun,值為要執行的.bat文件或.cmd文件的路徑,如c:winnt system32 auto.cmd,如果建立相應的文件,它的內容為@.c:con,就可以達到隱蔽的效果。


所有時間均為台北時間。現在的時間是 09:56 AM

Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2020, Jelsoft Enterprises Ltd.

『服務條款』

* 有問題不知道該怎麼解決嗎?請聯絡本站的系統管理員 *


SEO by vBSEO 3.6.1