資訊 - 超級揭露---木馬的所有隱藏啟動方式

psac · 2006-08-18, 08:45 PM

超級揭露---木馬的所有隱藏啟動方式
超級揭露---木馬的所有隱藏啟動方式
木馬的最大的特點之一就是它一定是要和系統一起啟動而啟動，否則它就完全失去了意義！！！
方法一：註冊表啟動項:這個大家可能比較熟悉，請大家注意以下的註冊表鍵值：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows
\CurrentVersion\RunHKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
如圖1：

http://www.cfanhome.com/aqzq/20050906/images/200596021372919.jpg

這裡只要有「run」敏感字眼的都要仔細)
方法二：利用系統文件
可以利用的文件有Win.ini ; system.ini ; Autoexec.bat ; Config.sys. 當系統啟動的時候，上述這些文件的一些內容是可以隨著系統一起載入的，從而可以被木馬利用
用文本方式打開 C:\Windows 下面的system.ini文件我們會看到
如圖2：

http://www.cfanhome.com/aqzq/20050906/images/2005967554371672.jpg

其它的幾個所述文件也是經常被用來利用，從而達到開機啟動的目的的；
方法三：系統啟動組
依次點開「開始」------「程式」------「啟動」
如圖3：

http://www.cfanhome.com/aqzq/20050906/images/2005967361951176.jpg

WINXP: C:\Documents and Settings\gillispie\[開始]表菜單\程式\啟動
WIN98: C:\WINDOWS\Start Menu\Programs\啟動
對應的註冊表鍵值：
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
如圖4：

http://www.cfanhome.com/aqzq/20050906/images/2005967415720127.jpg

方法四：利用文件關聯：
例如：正常情況下txt文件的打開方式為Notepad.exe文件，如果一旦中了文件關聯類的木馬，這樣打開一個txt文件，原本應該用Notepad打開該文件的，現在卻變成了啟動木馬程式了。
解決文件的關聯問題有兩種方法：
１修改註冊表：
如果木馬是關聯的EXE文件：
找到鍵值：
HKEY_CLASSES_ROOT\exefile\shell\open\command
HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command
如圖5：

http://www.cfanhome.com/aqzq/20050906/images/2005967502358178.jpg

２進入控制面版，選擇資料夾選項-----------文件類型
如圖6：
然後點擊"高階" 在彈出的表菜單中選擇「應用程式」

http://www.cfanhome.com/aqzq/20050906/images/2005960302786228.jpg

http://www.cfanhome.com/aqzq/20050906/images/20059523534237241.jpg

方法五：利用服務載入
系統要正常的執行，就少不了一些服務，一些木馬通過載入服務來達到隨系統啟動的目的
控制台--------管理工具------服務
如圖7：

http://www.cfanhome.com/aqzq/20050906/images/2005960325465535.jpg

http://www.cfanhome.com/aqzq/20050906/images/2005967385874634.jpg

通過 net start 服務名（開啟服務）
net stop 服務名（關閉服務）

http://www.cfanhome.com/aqzq/20050906/images/2005960355186000.jpg

2006-08-18, 08:45 PM	#1
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	資訊 - 超級揭露---木馬的所有隱藏啟動方式超級揭露---木馬的所有隱藏啟動方式超級揭露---木馬的所有隱藏啟動方式木馬的最大的特點之一就是它一定是要和系統一起啟動而啟動，否則它就完全失去了意義！！！方法一：註冊表啟動項:這個大家可能比較熟悉，請大家注意以下的註冊表鍵值： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows \CurrentVersion\RunHKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce 如圖1：這裡只要有「run」敏感字眼的都要仔細) 方法二：利用系統文件可以利用的文件有Win.ini ; system.ini ; Autoexec.bat ; Config.sys. 當系統啟動的時候，上述這些文件的一些內容是可以隨著系統一起載入的，從而可以被木馬利用用文本方式打開 C:\Windows 下面的system.ini文件我們會看到如圖2：其它的幾個所述文件也是經常被用來利用，從而達到開機啟動的目的的；方法三：系統啟動組依次點開「開始」------「程式」------「啟動」如圖3： WINXP: C:\Documents and Settings\gillispie\[開始]表菜單\程式\啟動 WIN98: C:\WINDOWS\Start Menu\Programs\啟動對應的註冊表鍵值： HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders 如圖4：方法四：利用文件關聯：例如：正常情況下txt文件的打開方式為Notepad.exe文件，如果一旦中了文件關聯類的木馬，這樣打開一個txt文件，原本應該用Notepad打開該文件的，現在卻變成了啟動木馬程式了。解決文件的關聯問題有兩種方法：１修改註冊表：如果木馬是關聯的EXE文件：找到鍵值： HKEY_CLASSES_ROOT\exefile\shell\open\command HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command 如圖5：２進入控制面版，選擇資料夾選項-----------文件類型如圖6：然後點擊"高階" 在彈出的表菜單中選擇「應用程式」方法五：利用服務載入系統要正常的執行，就少不了一些服務，一些木馬通過載入服務來達到隨系統啟動的目的控制台--------管理工具------服務如圖7：通過 net start 服務名（開啟服務） net stop 服務名（關閉服務）
	__________________
	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次

Google 提供的廣告