當(dāng)前位置 : 首頁>軟件學(xué)院>網(wǎng)絡(luò)技術(shù)>黑客攻防>正文

詳細(xì)解讀木馬病毒的六種啟動(dòng)方式

http://www.yibo1263.com　2009-1-6 9:20:01 　來源:東北IT網(wǎng) 　編輯:葉子

　　木馬是隨計(jì)算機(jī)或Windows的啟動(dòng)而啟動(dòng)并掌握一定的控制權(quán)的，其啟動(dòng)方式可謂多種多樣，通過注冊(cè)表啟動(dòng)、通過System.ini啟動(dòng)、通過某些特定程序啟動(dòng)等，真是防不勝防。其實(shí)只要能夠遏制住不讓它啟動(dòng)，木馬就沒什么用了，這里就簡(jiǎn)單說說木馬的啟動(dòng)方式，知己知彼百戰(zhàn)不殆嘛。

　　一、通過"開始\程序\啟動(dòng)"

　　隱蔽性：2星

　　應(yīng)用程度：較低

　　這也是一種很常見的方式，很多正常的程序都用它，大家常用的QQ就是用這種方式實(shí)現(xiàn)自啟動(dòng)的，但木馬卻很少用它。因?yàn)閱?dòng)組的每人會(huì)會(huì)出現(xiàn)在“系統(tǒng)配置實(shí)用程序”（msconfig.exe，以下簡(jiǎn)稱msconfig）中。事實(shí)上，出現(xiàn)在“開始”菜單的“程序\啟動(dòng)”中足以引起菜鳥的注意，所以，相信不會(huì)有木馬用這種啟動(dòng)方式。

　　二、通過Win.ini文件

　　隱蔽性：3星

　　應(yīng)用程度：較低

　　同啟動(dòng)組一樣，這也是從Windows3.2開始就可以使用的方法，是從Win16遺傳到Win32的。在Windows3.2中，Win.ini就相當(dāng)于Windows9x中的注冊(cè)表，在該文件中的[Windows]域中的load和run項(xiàng)會(huì)在Windows啟動(dòng)時(shí)運(yùn)行，這兩個(gè)項(xiàng)目也會(huì)出現(xiàn)在msconfig中。而且，在Windows98安裝完成后這兩項(xiàng)就會(huì)被Windows的程序使用了，也不很適合木馬使用。

　　三、通過注冊(cè)表啟動(dòng)

　　1、通過HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run，

　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run和

　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

　　隱蔽性：3.5星

　　應(yīng)用程度：極高

　　應(yīng)用案例：BO2000，GOP，NetSpy，IEthief，冰河……

　　這是很多Windows程序都采用的方法，也是木馬最常用的。使用非常方便，但也容易被人發(fā)現(xiàn)，由于其應(yīng)用太廣，所以幾乎提到木馬，就會(huì)讓人想到這幾個(gè)注冊(cè)表中的主鍵，通常木馬會(huì)使用最后一個(gè)。使用Windows自帶的程序：msconfig或注冊(cè)表編輯器（regedit.exe，以下簡(jiǎn)稱regedit）都可以將它輕易的刪除，所以這種方法并不十分可靠。但可以在木馬程序中加一個(gè)時(shí)間控件，以便實(shí)時(shí)監(jiān)視注冊(cè)表中自身的啟動(dòng)鍵值是否存在，一旦發(fā)現(xiàn)被刪除，則立即重新寫入，以保證下次Windows啟動(dòng)時(shí)自己能被運(yùn)行。這樣木馬程序和注冊(cè)表中的啟動(dòng)鍵值之間形成了一種互相保護(hù)的狀態(tài)。木馬程序未中止，啟動(dòng)鍵值就無法刪除（手工刪除后，木馬程序又自動(dòng)添加上了），相反的，不刪除啟動(dòng)鍵值，下次啟動(dòng)Windows還會(huì)啟動(dòng)木馬。怎么辦呢？其實(shí)破解它并不難，即使在沒有任何工具軟件的情況下也能輕易解除這種互相保護(hù)。

　　破解方法：首先，以安全模式啟動(dòng)Windows，這時(shí)，Windows不會(huì)加載注冊(cè)表中的項(xiàng)目，因此木馬不會(huì)被啟動(dòng)，相互保護(hù)的狀況也就不攻自破了；然后，你就可以刪除注冊(cè)表中的鍵值和相應(yīng)的木馬程序了。

　　2、通過HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce，

　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce和

　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

　　隱蔽性：4星

　　應(yīng)用程度：較低

　　應(yīng)用案例：Happy99月

　　這種方法好像用的人不是很多，但隱蔽性比上一種方法好，它的內(nèi)容不會(huì)出現(xiàn)在msconfig中。在這個(gè)鍵值下的項(xiàng)目和上一種相似，會(huì)在Windows啟動(dòng)時(shí)啟動(dòng)，但Windows啟動(dòng)后，該鍵值下的項(xiàng)目會(huì)被清空，因而不易被發(fā)現(xiàn)，但是只能啟動(dòng)一次，木馬如何能發(fā)揮效果呢？

　　四、通過Autoexec.bat文件，或winstart.bat，config.sys文件

　　隱蔽性：3.5星

　　應(yīng)用程度：較低

　　其實(shí)這種方法并不適合木馬使用，因?yàn)樵撐募䲡?huì)在Windows啟動(dòng)前運(yùn)行，這時(shí)系統(tǒng)處于DOS環(huán)境，只能運(yùn)行16位應(yīng)用程序，Windows下的32位程序是不能運(yùn)行的。因此也就失去了木馬的意義。不過，這并不是說它不能用于啟動(dòng)木馬。可以想象，SoftIce for Win98（功能強(qiáng)大的程序調(diào)試工具，被黑客奉為至寶，常用于破解應(yīng)用程序）也是先要在Autoexec.bat文件中運(yùn)行然后才能在Windows中呼叫出窗口，進(jìn)行調(diào)試的，既然如此，誰能保證木馬不會(huì)這樣啟動(dòng)呢？到目前為止，我還沒見過這樣啟動(dòng)的木馬，我想能寫這樣木馬的人一定是高手中的高手了。

本新聞共2頁,當(dāng)前在第1頁 1 2

【收藏】【打印】【進(jìn)入論壇】

相關(guān)文章：

·揭秘木馬病毒利益鏈：制售形成銷售網(wǎng)絡(luò)

·教你快速清除系統(tǒng)中的木馬病毒

·關(guān)于木馬病毒的六種啟動(dòng)方式

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费