网站运营 | 站长学院 | 技术文档 | 成语 | 歇后语 | 桌面壁纸 | 帝国时代 | 代码收藏 | IP地址查询 | 生活百科 | 生日密码 | CSS压缩 | 用户评论

特洛伊木马如何利用文件关联和设置名

【 赛迪网作者:佚名 更新时间:2007-01-22 | 字体:
[导读]  我们知道<,在注册表HKEY_LOCAL_MACHINE SoftwareMicrosoftWindowsCurrentVersionRun下可以加载程序<,使之开机时自动运行,类似“Run”这样的子键在注册表中还有几处,均以“Run”开头,如RunOnce、RunServices等...
  我们知道<,在注册表HKEY_LOCAL_MACHINE SoftwareMicrosoftWindowsCurrentVersionRun下可以加载程序<<,使之开机时自动运行<,类似“Run”这样的子键在注册表中还有几处<<<,均以“Run”开头,如RunOnce<、RunServices等<<。除了这种方法,还有一种修改注册表的方法也可以使程序自启动<。

  具体说来<,就是更改文件的打开方式,这样就可以使程序跟随您打开的那种文件类型一起启动<。举例来说,打开注册表,展开注册表到HKEY_CLASSES_ROOTexefileshell
opencommand<<,这里是exe文件的打开方式,默认键值为:“%1”%*<。如果把默认键值改为Trojan.exe“%1”%*,您每次运行exe文件,这个Trojan.exe文件就会被执行<。木马灰鸽子就采用关联exe文件的打开方式,而大名鼎鼎的木马冰河采用的是也与此相似的一招——关联txt文件<<。

  对付这种隐藏方法<<,主要是经常检查注册表,看文件的打开方式是否发生了变化<。如果发生了变化,就将打开方式改回来。最好能经常备份注册表<,发现问题后立即用备份文件恢复注册表,既方便<、快捷,又安全、省事<<。

  木马对设备名的利用

  大家知道,在Windows下无法以设备名来命名文件或文件夹<,这些设备名主要有aux、com1<、com2<<、prn、con、nul等<,但Windows 2000/XP有个漏洞可以以设备名来命名文件或文件夹,让木马可以躲在那里而不被发现。

  具体方法是:点击“开始”菜单的“运行”<,输入cmd.exe,回车进入命令提示符窗口<<,然后输入md c:con命令,可以建立一个名为con的目录<。默认请况下<,Windows是无法建立这类目录的<<,正是利用了Windows的漏洞我们才可以建立此目录。再试试输入md c:aux命令,可以建立aux目录<,输入md c:prn可以建立prn目录<<,输入md c:com1目录可以建立Com1目录,而输入md c: ul则可以建立一个名为nul的目录。在资源管理器中依次点击试试<,您会发现当我们试图打开以aux或com1命名的文件夹时<,explorer.exe失去了响应<,而许多“牧马人”就是利用这个方法将木马隐藏在这类特殊的文件夹中,从而达到隐藏、?<;つ韭沓绦虻哪康?<。

  现在<<<<,我们可以把文件复制到这个特殊的目录下,当然<,不能直接在Windows中复制<,需要采用特殊的方法<,在CMD窗口中输入copy muma.exe .c:aux命令<,就可以把木马文件muma.exe复制到C盘下的aux文件夹中,然后点击“开始”菜单中的“运行”<,在“运行”中输入c:aux muam.exe<<,就会成功启动该木马<。我们可以通过点击文件夹名进入此类特殊目录<<,不过<,如果您要试图在资源管理器中删除它<<<,会发现这根本就是徒劳的<,Windows会提示找不到该文件。

  由于使用del c:aux命令可以删除其中的muma.exe文件,所以,为了达到更好的隐藏和?;ばЧ?<<<<,下木马者会把muma.exe文件也改名,让我们很难删除。具体方法就是在复制木马文件到aux文件夹时使用命令copy muma.exe .c:con.exe<<<,就可以把木马文件muma.exe复制到aux目录中,并且改名为con.exe<,而con.exe文件是无法用普通方法删除的。

  可能有的朋友会想<,这个con.exe文件在“开始”菜单的“运行”中无法运行啊<<。其实不然<,只要在命令行方式下输入cmd /c .c:con就可以运行这个程序了。在运行时会有一个cmd窗口一闪而过<<<,下木马者一般来说会对其进行改进,方法有很多<<,可以利用开机脚本<,也可以利用cmd.exe的autorun:在注册表HKEY_LOCAL_ MACHINESoftwareMicrosoftCommand Processor下建一个字串AutoRun<,值为要运行的.bat文件或.cmd文件的路径<<,如c:winntsystem32auto.cmd,如果建立相应的文件<<,它的内容为@.c:con<,就可以达到隐蔽的效果<。

  对于这类特殊的文件夹<,发现后我们可以采用如下方法来删除它:先用del .c:con.exe命令删除con.exe文件(该文件假设就是其中的木马文件名),然后再用rd .c:aux命令删除aux文件夹即可<。

  好了<<,文章到这里就结束了。由于水平有限,文中如有不正确或值得商榷的地方欢迎大家批评指点,另外,写作时曾参阅过网上高手们的帖子,受益匪浅,在此一并谢过!

  不过<,AutoRun不仅能应用于光盘中<<,同样也可以应用于硬盘中(要注意的是<,AutoRun.inf必须存放在磁盘根目录下才能起作用)<。让我们一起看看AutoRun.inf文件的内容吧。

  打开记事本,新建一个文件,将其命名为AutoRun.inf<,在AutoRun.inf中键入以下内容:

[AutoRun]
Icon=C:WindowsSystemShell32.DLL,21
Open=C:Program FilesACDSeeACDSee.exe

  其中<<<,“[AutoRun]”是必须的固定格式<<<,一个标准的AutoRun文件必须以它开头<<,目的是告诉系统执行它下面几行的命令<;第二行“Icon=C:WindowsSystemShell32.DLL,21”是给硬盘或光盘设定一个个性化的图标<,“Shell32.DLL”是包含很多Windows图标的系统文件<,“21”表示显示编号为21的图标,无数字则默认采用文件中的第一个图标;第三行“Open=C:Program FilesACDSeeACDSee.exe”指出要运行程序的路径及其文件名<。

  如果把Open行换为木马文件<<,并将这个AutoRun.inf文件设置为隐藏属性<<<,我们点击硬盘时就会启动木马。

  为防止遭到这样的“埋伏”,可以禁止硬盘AutoRun功能。在“开始”菜单的“运行”中输入Regedit<,打开注册表编辑器,展开到HKEY_CURRENT_USERSoftware MicrosoftWindowsCurrentVersionPoliciesExploer主键下,在右侧窗口中找到“NoDriveTypeAutoRun”<,就是它决定了是否执行CDROM或硬盘的AutoRun功能<<<。将其键值改为9D,00,00,00就可以关闭硬盘的AutoRun功能<,如果改为B5,00,00,00则禁止光盘的AutoRun功能。修改后重新启动计算机,设置就会生效<。
  • 转载请注明来源:网站运营 网址:http://www.chinawobo.com/ 向您的朋友推荐此文章
  • 特别声明: 本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载<,但请务必注明出处和原始作者<<。文章版权归文章原始作者所有。对于被本站转载文章的个人和网站,我们表示深深的谢意。如果本站转载的文章有版权问题请联系我们<<<,我们会尽快予以更正。
RSS订阅
  • QQ邮箱
  • 填写您的邮件地址<,订阅我们的精彩内容:
更多
© 2017 网站运营 - T086.com(原itlearner.com)
  • 张天爱变胖了?淡雅甜笑险露双下巴 2018-05-26
  • 论对汉文化东传的基本认识 2018-05-26
  • 4月台州全市新建商品住宅成交3444套 2018-05-25
  • 河北盐山:“点、线、面”结合推进人才强县 2018-05-25
  • 北京市幼儿园年内完成全员培训 2018-05-25
  • 河南职业技术学院全国技能(导游类)大赛获佳绩 2018-05-24
  • Футбол -- Арены ЧМ-2018 -- Стадион Нижний Новгород 2018-05-24
  • 美媒:美国对华战略缺乏头脑 2018-05-23
  • 中国钢企布局沿海 柳钢瞄准东盟经济圈 2018-05-23
  • 2018的偶像元年是否只是一场美丽的谎言?偶像练习生创造101选秀 2018-05-22
  • 上海临港有个“儿童大学” 2018-05-20
  • 2017年世界大学学术排名发布 清华进前50大学学术排名大学排行榜 2018-05-20
  • 日本战犯侵华罪行自供 2018-05-19
  • 塑料污染让人痛心 世界最深海沟竟成“垃圾场” 2018-05-19
  • 男子因琐事杀害女友并分尸抛河 警方根据美甲破案嘉兴美甲死者 2018-05-18
  • 微商货源 | 冠珠陶瓷 | 6688电视家官网 | 中康体检网 | 安徽极热网 | 北京赛车开奖号码 | 快猴网 | 迪威乐云商devmsn | 易奇八字 | wwe美国职业摔角 | 八字算命 | 河南旅游景点大全 | 冠珠陶瓷 | 广东旅游景点大全 |
    RunTime:12.07ms QueryTime:7