史萊姆論壇

返回   史萊姆論壇 > 教學文件資料庫 > Hacker/Cracker 及加解密技術文件
忘記密碼?
註冊帳號 論壇說明 標記討論區已讀

歡迎您來到『史萊姆論壇』 ^___^

您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的!

請點擊這裡:『註冊成為我們的一份子!』

Google 提供的廣告


 
 
主題工具 顯示模式
舊 2006-08-18, 10:58 PM   #1
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設 資訊 - 木馬病毒如何利用文件關聯和設置名感染

木馬病毒如何利用文件關聯和設置名感染

我們知道,在註冊表HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersionRun下可以載入程式,使之開機時自動執行,類似「Run」這樣的子鍵在註冊表中還有幾處,均以「Run」開頭,如RunOnce、RunServices等。除了這種方法,還有一種修改註冊表的方法也可以使程式自啟動。


具體說來,就是更改文件的打開方式,這樣就可以使程式跟隨您打開的那種文件類型一起啟動。舉例來說,打開註冊表,展開註冊表到HKEY_CLASSES_ROOTexefileshell opencommand,這裡是exe文件的打開方式,預定鍵值為:「%1」%*。如果把預定鍵值改為Trojan.exe「%1」%*,您每次執行exe文件,這個Trojan.exe文件就會被執行。木馬灰鴿子就採用關聯exe文件的打開方式,而大名鼎鼎的木馬冰河採用的是也與此相似的一招——關聯txt文件。


對付這種隱藏方法,主要是經常檢查註冊表,看文件的打開方式是否發生了變化。如果發生了變化,就將打開方式改回來。最好能經常備份註冊表,發現問題後立即用備份文件恢復註冊表,既方便、快捷,又安全、省事。


木馬對設備名的利用


大家知道,在Windows下無法以設備名來命名文件或資料夾,這些設備名主要有aux、com1、com2、prn、con、nul等,但Windows 2000/XP有個漏洞可以以設備名來命名文件或資料夾,讓木馬可以躲在那裡而不被發現。


具體方法是:點擊「開始」表菜單的「執行」,輸入cmd.exe,Enter鍵進入命令提示字元視窗,然後輸入md c:con命令,可以建立一個名為con的目錄。預定請況下,Windows是無法建立這類目錄的,正是利用了Windows的漏洞我們才可以建立此目錄。再試試輸入md c:aux命令,可以建立aux目錄,輸入md crn可以建立prn目錄,輸入md c:com1目錄可以建立Com1目錄,而輸入md c: nul則可以建立一個名為nul的目錄。在視窗檔案總管中依次點擊試試,您會發現當我們試圖打開以aux或com1命名的資料夾時,explorer.exe失去了響應,而許多「牧馬人」就是利用這個方法將木馬隱藏在這類特殊的資料夾中,從而達到隱藏、保護木馬程式的目的。


現在,我們可以把文件複製到這個特殊的目錄下,當然,不能直接在Windows中複製,需要採用特殊的方法,在CMD視窗中輸入copy muma.exe .c:aux命令,就可以把木馬文件muma.exe複製到C硬碟下的aux資料夾中,然後點擊「開始」表菜單中的「執行」,在「執行」中輸入c:aux muam.exe,就會成功啟動該木馬。我們可以通過點擊資料夾名進入此類特殊目錄,不過,如果您要試圖在視窗檔案總管中刪除它,會發現這根本就是徒勞的,Windows會提示找不到該文件。


由於使用del c:aux命令可以刪除其中的muma.exe文件,所以,為了達到更好的隱藏和保護效果,下木馬者會把muma.exe文件也改名,讓我們很難刪除。具體方法就是在複製木馬文件到aux資料夾時使用命令copy muma.exe .c:con.exe,就可以把木馬文件muma.exe複製到aux目錄中,並且改名為con.exe,而con.exe文件是無法用普通方法刪除的。


可能有的朋友會想,這個con.exe文件在「開始」表菜單的「執行」中無法執行啊。其實不然,只要在命令行方式下輸入cmd /c .c:con就可以執行這個程式了。在執行時會有一個cmd視窗一閃而過,下木馬者一般來說會對其進行改進,方法有很多,可以利用開機腳本,也可以利用cmd.exe的autorun:在註冊表HKEY_LOCAL_ MACHINESoftwareMicrosoftCommand Processor下建一個字串AutoRun,值為要執行的.bat文件或.cmd文件的路徑,如c:winnt system32 auto.cmd,如果建立相應的文件,它的內容為@.c:con,就可以達到隱蔽的效果。
__________________
http://bbsimg.qianlong.com/upload/01/08/29/68/1082968_1136014649812.gif
psac 目前離線  
送花文章: 3, 收花文章: 1614 篇, 收花: 3173 次
 


主題工具
顯示模式

發表規則
不可以發文
不可以回覆主題
不可以上傳附加檔案
不可以編輯您的文章

論壇啟用 BB 語法
論壇啟用 表情符號
論壇啟用 [IMG] 語法
論壇禁用 HTML 語法
Trackbacks are 禁用
Pingbacks are 禁用
Refbacks are 禁用


所有時間均為台北時間。現在的時間是 09:48 PM


Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2018, Jelsoft Enterprises Ltd.


SEO by vBSEO 3.6.1