木馬病毒的六種啟動(dòng)方式
木馬病毒的六種啟動(dòng)方式
木馬是隨計(jì)算機(jī)或Windows的啟動(dòng)而啟動(dòng)并掌握一定的控制權(quán)的,其啟動(dòng)方式可謂多種多樣,通過注冊表啟動(dòng)、通過System.ini啟動(dòng)、通過某些特定程序啟動(dòng)等,真是防不勝防。其實(shí)只要能夠遏制住不讓它啟動(dòng),木馬就沒什么用了,這里學(xué)習(xí)啦小編就簡單說說木馬的啟動(dòng)方式,知己知彼百戰(zhàn)不殆嘛。
一、通過"開始\程序\啟動(dòng)"
隱蔽性:2星
應(yīng)用程度:較低
這也是一種很常見的方式,很多正常的程序都用它,大家常用的QQ就是用這種方式實(shí)現(xiàn)自啟動(dòng)的,但木馬卻很少用它。因?yàn)閱?dòng)組的每人會(huì)會(huì)出現(xiàn)在“系統(tǒng)配置實(shí)用程序”(msconfig.exe,以下簡稱msconfig)中。事實(shí)上,出現(xiàn)在“開始”菜單的“程序\啟動(dòng)”中足以引起菜鳥的注意,所以,相信不會(huì)有木馬用這種啟動(dòng)方式。
二、通過Win.ini文件
隱蔽性:3星
應(yīng)用程度:較低
同啟動(dòng)組一樣,這也是從Windows3.2開始就可以使用的方法,是從Win16遺傳到Win32的。在Windows3.2中,Win.ini就相當(dāng)于Windows9x中的注冊表,在該文件中的[Windows]域中的load和run項(xiàng)會(huì)在Windows啟動(dòng)時(shí)運(yùn)行,這兩個(gè)項(xiàng)目也會(huì)出現(xiàn)在msconfig中。而且,在Windows98安裝完成后這兩項(xiàng)就會(huì)被Windows的程序使用了,也不很適合木馬使用。
三、通過注冊表啟動(dòng)
1、通過HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run,
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run和
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
隱蔽性:3.5星
應(yīng)用程度:極高
應(yīng)用案例:BO2000,GOP,NetSpy,IEthief,冰河……
這是很多Windows程序都采用的方法,也是木馬最常用的。使用非常方便,但也容易被人發(fā)現(xiàn),由于其應(yīng)用太廣,所以幾乎提到木馬,就會(huì)讓人想到這幾個(gè)注冊表中的主鍵,通常木馬會(huì)使用最后一個(gè)。使用Windows自帶的程序:msconfig或注冊表編輯器(regedit.exe,以下簡稱regedit)都可以將它輕易的刪除,所以這種方法并不十分可靠。但可以在木馬程序中加一個(gè)時(shí)間控件,以便實(shí)時(shí)監(jiān)視注冊表中自身的啟動(dòng)鍵值是否存在,一旦發(fā)現(xiàn)被刪除,則立即重新寫入,以保證下次Windows啟動(dòng)時(shí)自己能被運(yùn)行。這樣木馬程序和注冊表中的啟動(dòng)鍵值之間形成了一種互相保護(hù)的狀態(tài)。木馬程序未中止,啟動(dòng)鍵值就無法刪除(手工刪除后,木馬程序又自動(dòng)添加上了),相反的,不刪除啟動(dòng)鍵值,下次啟動(dòng)Windows還會(huì)啟動(dòng)木馬。怎么辦呢?其實(shí)破解它并不難,即使在沒有任何工具軟件的情況下也能輕易解除這種互相保護(hù)。
破解方法:首先,以安全模式啟動(dòng)Windows,這時(shí),Windows不會(huì)加載注冊表中的項(xiàng)目,因此木馬不會(huì)被啟動(dòng),相互保護(hù)的狀況也就不攻自破了;然后,你就可以刪除注冊表中的鍵值和相應(yīng)的木馬程序了。
2、通過HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce,
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce和
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
隱蔽性:4星
應(yīng)用程度:較低
應(yīng)用案例:Happy99月
這種方法好像用的人不是很多,但隱蔽性比上一種方法好,它的內(nèi)容不會(huì)出現(xiàn)在msconfig中。在這個(gè)鍵值下的項(xiàng)目和上一種相似,會(huì)在Windows啟動(dòng)時(shí)啟動(dòng),但Windows啟動(dòng)后,該鍵值下的項(xiàng)目會(huì)被清空,因而不易被發(fā)現(xiàn),但是只能啟動(dòng)一次,木馬如何能發(fā)揮效果呢?
四、通過Autoexec.bat文件,或winstart.bat,config.sys文件
隱蔽性:3.5星
應(yīng)用程度:較低
其實(shí)這種方法并不適合木馬使用,因?yàn)樵撐募?huì)在Windows啟動(dòng)前運(yùn)行,這時(shí)系統(tǒng)處于DOS環(huán)境,只能運(yùn)行16位應(yīng)用程序,Windows下的32位程序是不能運(yùn)行的。因此也就失去了木馬的意義。不過,這并不是說它不能用于啟動(dòng)木馬??梢韵胂?,SoftIce for Win98(功能強(qiáng)大的程序調(diào)試工具,被黑客奉為至寶,常用于破解應(yīng)用程序)也是先要在Autoexec.bat文件中運(yùn)行然后才能在Windows中呼叫出窗口,進(jìn)行調(diào)試的,既然如此,誰能保證木馬不會(huì)這樣啟動(dòng)呢?到目前為止,我還沒見過這樣啟動(dòng)的木馬,我想能寫這樣木馬的人一定是高手中的高手了。
另外,這兩個(gè)BAT文件常被用于破壞,它們會(huì)在這個(gè)文件中加入類似"Deltree C:\*.*"和"Format C:/u"的行,這樣,在你啟動(dòng)計(jì)算機(jī)后還未啟動(dòng)Windows,你的C盤已然空空如也。
五、通過System.ini文件
隱蔽性:5星
應(yīng)用程度:一般
事實(shí)上,System.ini文件并沒有給用戶可用的啟動(dòng)項(xiàng)目,然而通過它啟動(dòng)卻是非常好用的。在System.ini文件的[Boot]域中的Shell項(xiàng)的值正常情況下是"Explorer.exe",這是Windows的外殼程序,換一個(gè)程序就可以徹底改變Windows的面貌(如改為Progman.exe就可以讓W(xué)in9x變成Windows3.2)。我們可以在"Explorer.exe"后加上木馬程序的路徑,這樣Windows啟動(dòng)后木馬也就隨之啟動(dòng),而且即使是安全模式啟動(dòng)也不會(huì)跳過這一項(xiàng),這樣木馬也就可以保證永遠(yuǎn)隨Windows啟動(dòng)了,名噪一時(shí)的尼姆達(dá)病毒就是用的這種方法。這時(shí),如果木馬程序也具有自動(dòng)檢測添加Shell項(xiàng)的功能的話,那簡直是天衣無縫的絕配,我想除了使用查看進(jìn)程的工具中止木馬,再修改Shell項(xiàng)和刪除木馬文件外是沒有破解之法了。但這種方式也有個(gè)先天的不足,因?yàn)橹挥蠸hell這一項(xiàng)嘛,如果有兩個(gè)木馬都使用這種方式實(shí)現(xiàn)自啟動(dòng),那么后來的木馬可能會(huì)使前一個(gè)無法啟動(dòng),呵呵以毒攻毒啊。
六、通過某特定程序或文件啟動(dòng)
1、寄生于特定程序之中
隱蔽性:5星
應(yīng)用程度:一般
即木馬和正常程序捆綁,有點(diǎn)類似于病毒,程序在運(yùn)行時(shí),木馬程序先獲得控制權(quán)或另開一個(gè)線程以監(jiān)視用戶操作,截取密碼等,這類木馬編寫的難度較大,需要了解PE文件結(jié)構(gòu)和Windows的底層知識(直接使用捆綁程序除外)。
2、將特定的程序改名
隱蔽性:5星
應(yīng)用程度:常見
這種方式常見于針對QQ的木馬,例如將QQ的啟動(dòng)文件QQ2000b.exe,改為QQ2000b.ico.exe(Windows默認(rèn)是不顯示擴(kuò)展名的,因此它會(huì)被顯示為QQ2000b.ico,而用戶會(huì)認(rèn)為它是一個(gè)圖標(biāo)),再將木馬程序改為QQ2000b.exe,此后,用戶運(yùn)行QQ,實(shí)際是運(yùn)行了QQ木馬,再由QQ木馬去啟動(dòng)真正的QQ,這種方式實(shí)現(xiàn)起來要比上一種簡單的多。
3、文件關(guān)聯(lián)
隱蔽性:5星
應(yīng)用程度:常見
通常木馬程序會(huì)將自己和TXT文件或EXE文件關(guān)聯(lián),這樣當(dāng)你打開一個(gè)文本文件或運(yùn)行一個(gè)程序時(shí),木馬也就神不知鬼不覺的啟動(dòng)了。
這類通過特定程序或文件啟動(dòng)的木馬,發(fā)現(xiàn)比較困難,但查殺并不難。一般地,只要?jiǎng)h除相應(yīng)的文件和注冊表鍵值即可。
看了“木馬病毒的六種啟動(dòng)方式”的人還看了:
3.木馬病毒的介紹