常見的木馬所有隱藏啟動方式木馬的最大的特點之一就是它一定是要和系統一起啟動而啟動,否則它就完全失去了意義!!!
方法一:註冊表啟動項:這個大家可能比較熟悉,請大家注意以下的註冊表鍵值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows
\CurrentVersion\RunHKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
這裡只要有「run」敏感字眼的都要仔細
方法二:利用系統文件
可以利用的文件有Win.ini ; system.ini ; Autoexec.bat ; Config.sys. 當系統啟動的時候,上述這些文件的一些內容是可以隨著系統一起加載的,從而可以被木馬利用
用文本方式打開 C:\Windows 下面的system.ini文件 我們會看到
其它的幾個所述文件也是經常被用來利用,從而達到開機啟動的目的的
方法三:系統啟動組
依次點開「開始」------「程序」------「啟動」
WINXP: C:\Documents and Settings\gillispie\[開始]菜單\程序\啟動
WIN98: C:\WINDOWS\Start Menu\Programs\啟動
對應的註冊表鍵值:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
方法四:利用文件關聯:
例如:正常情況下txt文件的打開方式為Notepad.exe文件,如果一旦中了文件關聯類的木馬,這樣打開一個txt文件,原本應該用Notepad打開該文件的,現在卻變成了啟動木馬程序了。
解決文件的關聯問題有兩種方法:
①修改註冊表:
如果木馬是關聯的EXE文件:
找到鍵值:
HKEY_CLASSES_ROOT\exefile\shell\open\command
HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command
②進入控制面版,選擇文件夾選項-----------文件類型
然後點擊"高級" 在彈出的菜單中選擇「應用程序」
方法五:利用服務加載
系統要正常的運行,就少不了一些服務,一些木馬通過加載服務來達到隨系統啟動的目的
控制面板--------管理工具------服務
通過 net start 服務名(開啟服務)
net stop 服務名(關閉服務)
資料來源 http://bbs.tech.ccidnet.com/read.php?tid=588453&toread=1
方法一:註冊表啟動項:這個大家可能比較熟悉,請大家注意以下的註冊表鍵值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows
\CurrentVersion\RunHKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
這裡只要有「run」敏感字眼的都要仔細
方法二:利用系統文件
可以利用的文件有Win.ini ; system.ini ; Autoexec.bat ; Config.sys. 當系統啟動的時候,上述這些文件的一些內容是可以隨著系統一起加載的,從而可以被木馬利用
用文本方式打開 C:\Windows 下面的system.ini文件 我們會看到
其它的幾個所述文件也是經常被用來利用,從而達到開機啟動的目的的
方法三:系統啟動組
依次點開「開始」------「程序」------「啟動」
WINXP: C:\Documents and Settings\gillispie\[開始]菜單\程序\啟動
WIN98: C:\WINDOWS\Start Menu\Programs\啟動
對應的註冊表鍵值:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
方法四:利用文件關聯:
例如:正常情況下txt文件的打開方式為Notepad.exe文件,如果一旦中了文件關聯類的木馬,這樣打開一個txt文件,原本應該用Notepad打開該文件的,現在卻變成了啟動木馬程序了。
解決文件的關聯問題有兩種方法:
①修改註冊表:
如果木馬是關聯的EXE文件:
找到鍵值:
HKEY_CLASSES_ROOT\exefile\shell\open\command
HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command
②進入控制面版,選擇文件夾選項-----------文件類型
然後點擊"高級" 在彈出的菜單中選擇「應用程序」
方法五:利用服務加載
系統要正常的運行,就少不了一些服務,一些木馬通過加載服務來達到隨系統啟動的目的
控制面板--------管理工具------服務
通過 net start 服務名(開啟服務)
net stop 服務名(關閉服務)
資料來源 http://bbs.tech.ccidnet.com/read.php?tid=588453&toread=1
全站熱搜
留言列表
