本文目录一览:
目前大部分木马病毒经常用到的启动加载方式是哪些?
木马是随计算机或Windows的启动而启动并掌握一定的控制权的,其启动方式可谓多种多样,通过注册表启动、通过System.ini启动、通过某些特定程序启动等,真是防不胜防。其实只要能够遏制住不让它启动,木马就没什么用了,这里就简单说说木马的启动方式,知己知彼百战不殆嘛。
一、通过"开始\程序\启动"
隐蔽性:2星
应用程度:较低
这也是一种很常见的方式,很多正常的程序都用它,大家常用的 *** 就是用这种方式实现自启动的,但木马却很少用它。因为启动组的每人会会出现在 “系统配置实用程序”(msconfig.exe,以下简称msconfig)中。事实上,出现在“开始”菜单的“程序\启动”中足以引起菜鸟的注意,所以,相信不会有木马用这种启动方式。
二、通过Win.ini文件
隐蔽性:3星
应用程度:较低
同启动组一样,这也是从Windows3.2开始就可以使用的 *** ,是从Win16遗传到Win32的。在Windows3.2中, Win.ini就相当于Windows9x中的注册表,在该文件中的[Windows]域中的load和run项会在Windows启动时运行,这两个项目也会出现在 msconfig中。而且,在Windows98安装完成后这两项就会被Windows的程序使用了,也不很适合木马使用。
三、通过注册表启动
1、通过HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run,
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run和
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
隐蔽性:3.5星
应用程度:极高
应用案例:BO2000,GOP,NetSpy,IEthief,冰河……
这是很多Windows程序都采用的 *** ,也是木马最常用的。使用非常方便,但也容易被人发现,由于其应用太广,所以几乎提到木马,就会让人想到这几个注册表中的主键,通常木马会使用最后一个。使用Windows自带的程序:msconfig或注册表编辑器(regedit.exe,以下简称 regedit)都可以将它轻易的删除,所以这种 *** 并不十分可靠。但可以在木马程序中加一个时间控件,以便实时监视注册表中自身的启动键值是否存在,一旦发现被删除,则立即重新写入,以保证下次Windows启动时自己能被运行。这样木马程序和注册表中的启动键值之间形成了一种互相保护的状态。木马程序未中止,启动键值就无法删除(手工删除后,木马程序又自动添加上了),相反的,不删除启动键值,下次启动Windows还会启动木马。怎么办呢?其实破解它并不难,即使在没有任何工具软件的情况下也能轻易解除这种互相保护。
破解 *** :首先,以安全模式启动Windows,这时,Windows不会加载注册表中的项目,因此木马不会被启动,相互保护的状况也就不攻自破了;然后,你就可以删除注册表中的键值和相应的木马程序了。
2、通过HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce,
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce和
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
隐蔽性:4星
应用程度:较低
应用案例:Happy99月
这种 *** 好像用的人不是很多,但隐蔽性比上一种 *** 好,它的内容不会出现在msconfig中。在这个键值下的项目和上一种相似,会在 Windows启动时启动,但Windows启动后,该键值下的项目会被清空,因而不易被发现,但是只能启动一次,木马如何能发挥效果呢?
其实很简单,不是只能启动一次吗?那木马启动成功后再在这里添加一次不就行了吗?在Delphi中这不过3、5行程序。虽说这些项目不会出现在msconfig中,但是在Regedit中却可以直接将它删除,那么木马也就从此失效了。
还有一种 *** ,不是在启动的时候加而是在退出Windows的时候加,这要求木马程序本身要截获WIndows的消息,当发现关闭 Windows消息时,暂停关闭过程,添加注册表项目,然后才开始关闭Windows,这样用Regedit也找不到它的踪迹了。这种 *** 也有个缺点,就是一旦 Windows异常中止(对于Windows9x这是经常的),木马也就失效了。
破解他们的 *** 也可以用安全模式。
另外使用这三个键值并不完全一样,通常木马会选择之一个,因为在第二个键值下的项目会在Windows启动完成前运行,并等待程序结束会才继续启动Windows。
四、通过Autoexec.bat文件,或winstart.bat,config.sys文件
隐蔽性:3.5星
应用程度:较低
其实这种 *** 并不适合木马使用,因为该文件会在Windows启动前运行,这时系统处于DOS环境,只能运行16位应用程序,Windows下的32位程序是不能运行的。因此也就失去了木马的意义。不过,这并不是说它不能用于启动木马。可以想象,SoftIce for Win98(功能强大的程序调试工具,被黑客奉为至宝,常用于破解应用程序)也是先要在Autoexec.bat文件中运行然后才能在Windows中呼叫出窗口,进行调试的,既然如此,谁能保证木马不会这样启动呢?到目前为止,我还没见过这样启动的木马,我想能写这样木马的人一定是高手中的高手了。
另外,这两个BAT文件常被用于破坏,它们会在这个文件中加入类似"Deltree C:\*.*"和"Format C:/u"的行,这样,在你启动计算机后还未启动Windows,你的C盘已然空空如也。
五、通过System.ini文件
隐蔽性:5星
应用程度:一般
事实上,System.ini文件并没有给用户可用的启动项目,然而通过它启动却是非常好用的。在System.ini文件的[Boot]域中的 Shell项的值正常情况下是"Explorer.exe",这是Windows的外壳程序,换一个程序就可以彻底改变Windows的面貌(如改为 Progman.exe就可以让Win9x变成Windows3.2)。我们可以在"Explorer.exe"后加上木马程序的路径,这样 Windows启动后木马也就随之启动,而且即使是安全模式启动也不会跳过这一项,这样木马也就可以保证永远随Windows启动了,名噪一时的尼姆达病毒就是用的这种 *** 。这时,如果木马程序也具有自动检测添加Shell项的功能的话,那简直是天衣无缝的绝配,我想除了使用查看进程的工具中止木马,再修改Shell项和删除木马文件外是没有破解之法了。但这种方式也有个先天的不足,因为只有Shell这一项嘛,如果有两个木马都使用这种方式实现自启动,那么后来的木马可能会使前一个无法启动,呵呵以毒攻毒啊。
六、通过某特定程序或文件启动
1、寄生于特定程序之中
隐蔽性:5星
应用程度:一般
即木马和正常程序捆绑,有点类似于病毒,程序在运行时,木马程序先获得控制权或另开一个线程以监视用户操作,截取密码等,这类木马编写的难度较大,需要了解PE文件结构和Windows的底层知识(直接使用捆绑程序除外)。
2、将特定的程序改名
隐蔽性:5星
应用程度:常见
这种方式常见于针对 *** 的木马,例如将 *** 的启动文件 *** 2000b.exe,改为 *** 2000b.ico.exe(Windows默认是不显示扩展名的,因此它会被显示为 *** 2000b.ico,而用户会认为它是一个图标),再将木马程序改为 *** 2000b.exe,此后,用户运行 *** ,实际是运行了 *** 木马,再由 *** 木马去启动真正的 *** ,这种方式实现起来要比上一种简单的多。
3、文件关联
隐蔽性:5星
应用程度:常见
通常木马程序会将自己和TXT文件或EXE文件关联,这样当你打开一个文本文件或运行一个程序时,木马也就神不知鬼不觉的启动了。
这类通过特定程序或文件启动的木马,发现比较困难,但查杀并不难。一般地,只要删除相应的文件和注册表键值即可。
木马自动运行有几种 *** ?怎么用?能解说一下吗?
特殊启动1:
在注册表中除了上述的普通的启动方式以外,还可以利用一些特殊的方式达到启动
的目的:
[HKEY_CLASSES_ROOTexefileshellopencommand] @=\"%1\" %*
[HKEY_CLASSES_ROOTcomfileshellopencommand] @=\"%1\" %*
[HKEY_CLASSES_ROOTbatfileshellopencommand] @=\"%1\" %*
[HKEY_CLASSES_ROOThtafileshellopencommand] @=\"%1\" %*
[HKEY_CLASSES_ROOTpiffileshellopencommand] @=\"%1\" %*
[HKEY_LOCAL_MACHINESoftwareCLASSESbatfileshellopencommand] @=\"%1\" %*
[HKEY_LOCAL_MACHINESoftwareCLASSEScomfileshellopencommand] @=\"%1\" %*
[HKEY_LOCAL_MACHINESoftwareCLASSESexefileshellopencommand] @=\"%1\" %*
[HKEY_LOCAL_MACHINESoftwareCLASSEShtafileshellopencommand] @= \"%1\" %*
[HKEY_LOCAL_MACHINESoftwareCLASSESpiffileshellopencommand] @=\"%1\" %*
其实从注册表的路径上也许就隐约可以看出,这些都是一些经常被执行的可执行文
件的键值。往往有些木马是可以更改这些键值从而达到加载的目的:
如果我把“”%1”%*”改为“file.exe”%1”%*”则文件file.exe就会在每次执行
某一个类型的文件(要看改的是哪一个文件类型)的时候被执行! 当然,可以被更改的
不一定只是可执行文件,譬如冰河就利用了TXT文件的键值:
[HKEY_CLASSES_ROOTtxtfileshellopencommand]实现木马的一种启动方式。
3.特殊启动2:
在注册表中:
HKEY_LOCAL_MACHINESystemCurrentControlSetServicesVxD
的位置上有这样的地址。该地址是系统启动VxD驱动文件放置的地址,就像PrettyP
ark这个蠕虫一样,可以建立一个主键之后把VxD文件添加到注册表中在这里。
注意:不可以直接把一个EXE文件改名为VxD文件,需要另外进行编程,生成的VxD文
件。
4.其他启动方式:
(一).C:Explorer.exe启动方式:
这是一种特殊的启动方式,很少有人知道。
在Win9X下,由于SYSTEM.INI只指定了Windows的外壳文件EXPLORER.EXE的名称,而
并没有指定绝对路径,所以Win9X会搜索EXPLORER.EXE文件。
搜索顺序如下:
(1).搜索当前目录。
(2).如果没有搜索到EXPLORER.EXE则系统会获取
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerEnvironm
entPath]的信息获得相对路径。
(3).如果还是没有文件系统则会获取[HKEY_CURRENT_USEREnvironmentPath]的
信息获得相对路径。
其中:
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerEnvironm
entPath]和[HKEY_CURRENT_USEREnvironmentPath]所保存的相对路径的键值为:“%Sys
temRoot%System32;%SystemRoot%”和空。
所以,由于当系统启动时,“当前目录”肯定是%SystemDrive%(系统驱动器),这
样系统搜索EXPLORER.EXE的顺序应该是:
(1).%SystemDrive%(例如C:)
(2).%SystemRoot%System32(例如C:WINNTSYSTEM32)
(3).%SystemRoot%(例如C:WINNT)
此时,如果把一个名为EXPLORER.EXE的文件放到系统根目录下,这样在每次启动的
时候系统就会自动先启动根目录下的EXPLORER.EXE而不启动Windows目录下的EXPLORER.
EXE了。
在WinNT系列下,WindowsNT/Windows2000更加注意了EXPLORER.EXE的文件名放置的
位置,把系统启动时要使用的外壳文件(EXPLORER.EXE)的名称放到了:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogonShell
]
这个位置。
作为默认这个位置是不存在的,默认为是Explorer.exe。
具体请参考:.
asp
注意:
一定要确定根目录下的EXPLORER.EXE要能启动Windows目录下的EXPLORER.EXE,否则
会导致Windows无法启动!
现在流行的病毒CodeRed就会在C:和D:目录下放置两个约8KB的EXPLORER.EXE的文件
!
在Windows 2000 SP2中微软已经更改了这一方式。
(二).屏幕保护启动方式:
Windows的屏幕保护程序是一个.scr文件。这是一个PE格式的可执行文件。如果把屏
幕保护程序.scr更名为.exe的文件,则该程序仍然可以正常启动。类似的.exe文件更名
为.scr文件也是一样可以被运行!
.scr文件默认存在于C:Windows目录中,他的名字就是在“显示”属性中的“屏幕保
护程序”中的名称。在C:Windows目录下的所有*.scr文件都会被Windows的“屏幕保护程
序”显示,而文件路径本身保存在System.ini中的SCRNSAVE.EXE=的这条中。有意思的是
在SCRNSAVE.EXE=这条中,其规定的路径也包含了目录名称。即如果我想安装一个.scr文
件时,譬如安装路径为D:SCR1.scr,而D:SCR这个目录中还有2.scr,则在这个目录中的
所有.scr(1.scr,2.scr)文件都会被显示在“屏幕保护程序”设置中。如果屏幕保护
程序设为“(无)”,则SCRNSAVE.EXE=这条不存在。但如果SCRNSAVE.EXE=这条所指的
文件或目录是错误的,则在“屏幕保护程序设置”中仍然会显示“(无)”。
屏幕保护程序的启动时间保存在注册表中的这个位置上:
HKEY_USERS.DEFAULTControl PaneldesktopScreenSaveTimeOut
时间单位为秒,不过虽然是秒,可启动时间却为分,即从60秒开始记录,如果记录
时间小于60秒,则自动定为1分钟。
屏幕保护是否设置密码的键值为:
HKEY_USERS.DEFAULTControl PaneldesktopScreenSaveUsePassword
有密码则值为1没有密码则值为0。
由此可见,如果有人把自己所作的.exe程序更名为.scr的程序,并使程序能够在SY
STEM.INI中添加“SCANSAVE.EXE=/%Path%”f/ile.scr”(/%Path%/file.scr为所需要设
置的文件的路径和文件名,如C:Program filestrojan.scr),修改注册表中的HKEY_US
ERS.DEFAULTControl PaneldesktopScreenSaveTimeOut,定时间为60,则系统只要闲置
一分钟该文件就会被启动!
另外一个简单的破坏方式就是可以随机产生屏幕保护密码并写入相应文件的相应位
置,定时间为1分钟,则系统只要闲置一分钟则会被被锁!(由于涉及问题并非自启动问
题,所以不加以讨论。)
注意:由于SCANSAVE.EXE=这里还会定义.scr文件的路径,所以更好不要把要启动的
文件放置在.scr文件较多的一些目录,否则容易引起怀疑。(Windows目录除外) (三
).依附启动:
这类启动方式已经有几分类似病毒了。这种 *** 是利用病毒的传染机制把要启动的
EXE文件附着在另外的一个和多个EXE文件上,从而达到启动这个EXE文件就可以启动要启
动的文件的目的。记得1999年YAI这个木马流行的时候,它就使用了依附一个EXE文件而
达到启动的目的,但是由于BUGS和方式问题该木马的破坏作用却体现在了它“病毒”的
一面。
使用这种启动 *** 一定要注意不能破坏EXE文件(否则会很容易被发现),而且更好
把木马定位在固定的一个或者几个EXE文件上。如:IEXPLORE.EXE(IE的EXE文件),RN
APP.EXE(拨号 *** 的EXE文件)等等。
注意:这种 *** 的使用比较危险,技术上也需要相当功底,而且和病毒的距离很近
,慎用。
木马有几种启动方式?
键盘记录木马
这个特洛伊木马很简单。他们只做一件事,那就是记录受害者的键盘击键,并在LOG文件中找到密码,然后由Windows启动来启动它。他们具有在线和离线记录选项,当您在在线和离线状态下敲击键盘时,可以记录击键,以便您可以按一下按钮,黑客就可以从记录中知道,并且很容易就可以将您从它。有用的信息,例如密码,甚至您的信用卡帐户!当然,对于这种类型的特洛伊木马,许多都具有邮件发送功能,它将自动将密码发送到黑客指定的邮箱。
DoS攻击木马
当黑客入侵计算机并向其发出DoS攻击木马时,此计算机将不会反映在受感染的计算机中,而不是计算机中。受攻击控制的肉鸡数量越多,发起Dos攻击的可能性就越大。黑客使用它来攻击一台计算机,从而对 *** 造成巨大的破坏和损失。
还有一个类似DoS的木马,称为邮件炸弹木马。一旦机器被感染,特洛伊木马程序将随机生成各种主题的信件,并将继续向特定的邮箱发送电子邮件,直到对方感到尴尬并且无法接受邮件为止。
FTP木马
该木马可能是最简单,最古老的木马。它的唯一功能是打开21入口并等待用户连接。现在,新的FTP木马还增加了密码功能,以便只有攻击者才能知道正确的密码并进入另一台计算机。
反弹端口型木马
在分析了防火墙的特征之后,特洛伊木马开发人员发现防火墙通常对连接的链接执行非常严格的过滤,但是撤离了所连接的链接。与典型的Trojan相比,退回端口Trojan的服务器(控制台)使用主动端口,而客户端(控制台)使用被动端口。通常在80时开放,即使用户使用扫描软件检查自己的端口,他们也会发现类似的TCPUserIP:1026控制器IP:80ESTABLISHED的情况,有点疏忽,会认为他们正在浏览Web,因为正在浏览 *** 将打开80。
特洛伊木马
对于黑客而言,在入侵时掩盖自己的足迹非常重要。防止发现其身份非常重要。因此, *** 特洛伊木马程序最重要的任务是为受控肉鸡种下特洛伊木马并将其转变为攻击者。。通过 *** 特洛伊木马,攻击者可以在匿名情况下使用Telnet,ICQ,IRC等隐藏自己的踪迹。
程序杀手木马
尽管以上木马的功能多种多样,但既要在另一台机器上发挥自己的作用,又要防范木马软件。常见的反木马软件是ZoneAlarm,NortonAnti-Virus等。程序杀手Trojan的功能是关闭在另一台计算机上运行的此类程序,以便其他Trojans可以更好地工作。
扩展资料:
检测和寻找木马隐藏的位置
木马侵入系统后,需要找一个安全的地方选择适当时机进行攻击,了解和掌握木马藏匿位置,才能最终清除木马。木马经常会集成到程序中、藏匿在系统中、伪装成普通文件或者添加到计算机操作系统中的注册表中,还有嵌入在启动文件中,一旦计算机启动,这些木马程序也将运行。
安装防火墙
防火墙在计算机系统中起着不可替代的作用,它保障计算机的数据流通,保护着计算机的安全通道,对数据进行管控可以根据用户需要自定义,防止不必要的数据流通。安装防火墙有助于对计算机病毒木马程序的防范与拦截。
病毒随系统自动启动或自动加载的方式还有哪些?
我们一起来看看木马常用的激活方式。
在Win.ini中启动
在Win.ini的[windows]字段中有启动命令“load=”和“run=”,在一般情况下“=”后面是空白的,如果后面跟着程序,比如:
run=c:windowsile.exe
load=c:windowsile.exe
这个file.exe很可能就是木马程序!
修改文件关联
修改文件关联是木马们常用手段(主要是国产木马,老外的木马大都没有这个功能),比方说正常情况下TXT文件的打开方式为 Notepad.exe文件,但一旦中了文件关联木马,则TXT文件打开方式就会被修改为用木马程序打开,如著名的国产木马冰河。“冰河”就是通过修改 HKEY_CLASSES_ROOT xtfileshellopenmmand下的键值,将“C:WINDOWSNOTEPAD.EXE %1”改为“C:WINDOWSSYSTEMSYSEXPLR.EXE %1”,这样当你双击一个TXT文件,原本应用Notepad打开该文件的,现在却变成启动木马程序了,好狠毒哦!请大家注意,不仅仅是TXT文件,其他诸如HTM、EXE、ZIP、COM等都是木马的目标,要小心喽。对付这类木马,只能经常检查HKEY_CLASSES_ROOT文件类型 shellopenmmand主键,查看其键值是否正常。
捆绑文件
实现这种触发条件首先要控制端和服务端已通过木马建立连接,然后控制端用户用工具软件将木马文件和某一应用程序捆绑在一起,上传到服务端覆盖原文件,这样即使木马被删除了,只要运行捆绑了木马的应用程序,木马又会被安装上去了。绑定到某一应用程序中,如绑定到系统文件,那么每一次Windows 启动均会启动木马。
在System.ini中启动
System.ini位于Windows的安装目录下,其[boot]字段的shell=Explorer.exe是木马喜欢的隐蔽加载之所,木马通常的做法是将该句变为这样:shell=Explorer.exe file.exe,注意这里的file.exe就是木马服务端程序!
另外,在System.ini中的[386Enh]字段,要注意检查在此段内的“driver=路径程序名”,这里也有可能被木马所利用。
再有,在System.ini中的[mic]、[drivers]、[drivers32]这三个字段,它们起到加载驱动程序的作用,但也是添加木马程序的好场所。
利用注册表加载运行
如下所示的注册表位置都是木马喜好的藏身之处,赶快检查一下,有什么程序在其下:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion下所有以“run”开头的键值;
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion下所有以“run”开头的键值;
HKEY_USERS.DefaultSoftware
MicrosoftWindowsCurrentVersion下所有以“run”开头的键值。
在Autoexec.bat和Config.sys中加载运行
请大家注意,在C盘根目录下的这两个文件也可以启动木马。但这种加载方式一般都需要控制端用户与服务端建立连接后,将已添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行,而且采用这种方式不是很隐蔽,容易被发现。所以在Autoexec.bat和Config.sys中加载木马程序的并不多见,但也不能因此而掉以轻心。
在Winstart.bat中启动
Winstart.bat是一个特殊性丝毫不亚于Autoexec.bat的批处理文件,它也是一个能自动被Windows加载运行的文件。它多数情况下为应用程序及Windows自动生成,在执行了Win.com并加载了多数驱动程序之后开始执行(这一点可通过启动时按[F8]键再选择逐步跟踪启动过程的启动方式得知)。由于Autoexec.bat的功能可以由Winstart.bat代替完成,因此木马完全可以像在 Autoexec.bat中那样被加载运行。
“反弹端口”型木马的主动连接方式
什么叫“反弹端口”型木马呢?我经过分析防火墙的特性后发现:大多数的防火墙对于由外面连入本机的连接往往会进行非常严格的过滤,但是对于由本机发出的连接却疏于防范(当然有的防火墙两方面都很严格)。于是,与一般的木马相反,“反弹端口”型木马的服务端(被控制端)使用主动端口,客户端(控制端)使用被动端口,当要建立连接时,由客户端通过FTP主页空间告诉服务端:“现在开始连接我吧!”,并进入监听状态,服务端收到通知后,就会开始连接客户端。为了隐蔽起见,客户端的监听端口一般开在80,这样,即使用户使用端口扫描软件检查自己的端口,发现的也是类似“TCP 服务端的IP地址: 1026,客户端的IP地址:80 ESTABLISHED”的情况,稍微疏忽一点你就会以为是自己在浏览网页。防火墙也会如此认为,大概没有哪个防火墙会不给用户向外连接80端口吧。这类木马的典型代表就是“ *** 神偷”。由于这类木马仍然要在注册表中建立键值,因此只要留意注册表的变化就不难查到它们。
