快捷搜索:   nginx

超级揭露---木马的所有隐藏启动方式

木马的最大的特点之一就是它一定是要和系统一起启动而启动,否则它就完全失去了意义!!!
方法一:注册表启动项:这个大家可能比较熟悉,请大家注意以下的注册表键值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows
\CurrentVersion\RunHKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
如图1:


这里只要有“run”敏感字眼的都要仔细)
方法二:利用系统文件
可以利用的文件有Win.ini  ;  system.ini  ;   Autoexec.bat   ;   Config.sys. 当系统启动的时候,上述这些文件的一些内容是可以随着系统一起加载的,从而可以被木马利用
用文本方式打开  C:\Windows  下面的system.ini文件 我们会看到
如图2:

其它的几个所述文件也是经常被用来利用,从而达到开机启动的目的的;
方法三:系统启动组
依次点开“开始”------“程序”------“启动”
如图3:  

WINXP: C:\Documents and Settings\gillispie\[开始]菜单\程序\启动
WIN98: C:\WINDOWS\Start Menu\Programs\启动
对应的注册表键值:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
如图4:


方法四:利用文件关联:
例如:正常情况下txt文件的打开方式为Notepad.exe文件,如果一旦中了文件关联类的木马,这样打开一个txt文件,原本应该用Notepad打开该文件的,现在却变成了启动木马程序了。
解决文件的关联问题有两种方法:
①修改注册表:
如果木马是关联的EXE文件:
找到键值:
HKEY_CLASSES_ROOT\exefile\shell\open\command
HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command
如图5:


②进入控制面版,选择文件夹选项-----------文件类型
如图6:
然后点击"高级"   在弹出的菜单中选择“应用程序”



方法五:利用服务加载
系统要正常的运行,就少不了一些服务,一些木马通过加载服务来达到随系统启动的目的
控制面板--------管理工具------服务
如图7:




通过   net  start  服务名(开启服务)
net  stop   服务名(关闭服务)

介绍的内容到这里就完了,希望大家有说收获^_^
顶(0)
踩(0)

您可能还会对下面的文章感兴趣:

最新评论