当客户的电子电脑被有心人植入木马和病原体后,会随着电子电脑的启动而开机,拥有一定的决策权。有多种启动方式,比如根据注册表文件启动,根据System.ini启动,根据一些特殊程序启动等等。,他们也无能为力。其实如果你能抵制它,禁止它启动,木马就没用了。木马病毒的启动方式有哪些?就像特洛伊木马?
木马病原体启动方法:
木马是通过远程控制方式启动的。这种木马病原体会根据网络黑客的远程控制命令,更改你电脑上的安装文件,窃取资料。如果在你的电脑上发现了木马,你可以使用电脑杀毒软件对你的电脑进行杀毒,这样可以对木马病原体进行彻底的消毒和清理。
木马病原体的启动方法
首先,根据“刚开始的程序”
隐蔽性:2颗星
应用级别:低
这也是一个很常见的方法,很多正常程序都在用。常用QQ方式完成自启动,木马很少使用。启动组的每个人都会出现在“系统设置简易程序”(msconfig.exe,以下简称msconfig)中。事实上,《刚刚开始》赖丹中“节目启动”的出现就足以引起小白的注意。所以我坚信木马使用这种启动方式并不容易。
第二,根据Win.ini文件
隐藏:三星
应用级别:低
和启动组一样,从Windows3.4开始就可以应用,从Win16基因继承到Win32。在Windows3.2中,Win.ini相当于Windows9x中的注册表文件。这个文件中的[Windows]域中的load和run项在Windows启动时会起作用,这两个新项也会出现在msconfig中。而且Windows98安装后,这两项会被Windows程序应用,不太适合木马应用。
第三,根据注册表文件启动。
1.根据:
HKEY_当前_用户软件微软WindowsCurrentVersionRun
HKEY_本地_机器软件微软视窗安全版本运行
HKEY_本地_机器软件微软windowscurrentversionrunservices
隐蔽性:3.5颗星
应用级别:极高
例子:BO2000,GOP,NetSpy,IEthief,Glacier...
是很多Windows程序选择的方法,也是最常见的木马。应用很方便,但也很容易被别人发现。因为应用广泛,基本上提到木马就会让人想起很多注册表文件中的主键。一般木马会用最后一个。Windows内置程序:msconfig或者注册表文件的在线编辑器(regedit.exe,以下简称regedit)都可以随便删除,所以这种方法不太靠谱。但是可以在木马程序中添加一个时间控件,方便即时监控注册表文件的启动键值是否存在。一旦发现被删除,会立即重新加载,以保证下次Windows启动时还能 *** 作。这样,木马程序和注册表文件中的启动键值就有了相互维护的情况。如果木马程序没有中断,启动键值是无法删除的(手动删除后,木马程序自动添加)。反之,如果不删除启动键值,下次启动Windows时,木马会继续启动。我该怎么办?其实破译起来也不算太难,就算没有所有的软件工具,你只要消除这种相互维护就可以了。
解密方法:首先,用安全中心启动Windows。此时Windows不容易在注册表文件中加载新的条目,所以木马也不容易启动,相互的维护也会被破坏。然后,您将能够删除注册表中的键值和相应的木马程序。
2.根据:
HKEY_本地_机器软件微软视窗安全版本运行
HKEY_当前_用户软件微软视窗安全版本运行
HKEY_本地_机器软件微软windowscurrentversionrunservicesonce
隐蔽性:4星
应用级别:低
应用示例:快乐99年9月
这种方法好像用的人不多,但是隐蔽性比前一种好,内容也不容易出现在msconfig中。该键值下的新项与上一项类似,将在Windows启动时启动。但Windows启动后,该键值下的新项会被清除,所以不容易被发现。但是,木马只有启动一次,怎么才能充分发挥实际效果呢?
其实也不是很难。不是只开始过一次吗?木马启动成功后再加到这里不就可以了吗?在Delphi中,这只是一个3或5行的程序。虽然这个新项目在msconfig中不容易出现,但是在Regedit中可以立即删除,然后木马就失效了。
还有一种方式,就是启动的时候不添加,只有退出WIndows的时候才添加。这就规定了木马程序本身要捕获Windows的信息,当它发现Windows的信息被关闭时,就会停止整个关闭的过程,在注册表文件中添加一个新的项目,然后刚开始关闭Windows,用Regedit就找不到它的足迹了。这种方法还有一个缺陷,就是一旦Windows非正常中断(Windows9x常见),木马就会失效。
你也可以使用安全中心来破译它们。
此外,这三个关键值的应用也不完全相同。一般木马会选择第一个,因为第二个键值下的新项会在Windows启动前运行,等程序结束再启动Windows。
四。根据Autoexec.bat文件,或winstart.bat,config.sys文件
隐蔽性:3.5颗星
应用级别:低
其实这种方法并不适合木马应用,因为Windows启动前会对文件进行 *** 作,此时系统软件处于DOS自然环境。只能运行16位应用程序,Windows下的32位系统程序不能运行。所以木马的实际意义也就丧失了。但是,这并不意味着不能用它来启动木马。可想而知,SoftIceforWin98(一款全功能的程序调整专用工具,被网络黑客奉为至宝,常用来破解应用程序)也要先在Autoexec.bat文件中 *** 作,然后才能调出Windows中的对话框进行调整。这种情况下,谁能保证木马不那么容易启动?到目前为止,我还没见过木马是这样开始的。我觉得能写出这样木马的人,一定是大神中的大神。
此外,这两个蝙蝠文件经常被用来销毁。他们将添加类似于“DeltreeC:*”的行。*"和"格式C:/u"。这样的话,你的c盘在你启动电脑之后启动Windows之前就已经空空了。
动词(verb的缩写)根据System.ini文件
隐蔽性:5颗星
应用层:一般
其实System.ini文件并没有给客户一个新的项目来启动,但是按照它来启动就很厉害了。System.ini文件的[[Boot]]域中shell项的值正常情况下为“Explorer.exe”,是Windows的Shell程序。更改程序可以更改Windows的外观(例如,更改为Progman.exe可以将Win9x更改为Windows3.2)。我们可以在“Explorer.exe”后添加木马程序,这样木马就会在Windows启动后启动,即使安全中心启动也不会绕过这一项,这样木马就可以一直从Windows启动,著名的Nimda病毒就是这样。这个时候,如果木马程序还具备自动识别加外壳物品的功能,那就真的是完美搭档了。我觉得除了用查看进程的专用工具打断木马,然后更改外壳项,删除木马文件,没有别的办法破译。然而,这种方法也有一个先天不足。因为只有外壳,如果两个木马用这种方法完成自启动,那么后面的木马很可能会让前面的无法启动。呵呵呵,以毒攻毒。
不及物动词根据一个特殊的程序或文件开始。
1,寄生在特殊程序中。
隐蔽性:5颗星
应用层:一般
也就是木马会捆绑所有正常的程序,有点类似于病原体。在程序运行时,木马程序首先获得决策权或启动另一个进程,监控客户的实际 *** 作,提取登录密码等。编写这类木马的难度系数很高,需要掌握最起码的PE文件结构和Windows的专业知识(马上绑定程序的应用除外)。
2.重命名特殊程序。
隐蔽性:5颗星
应用级别:通用
这种方法在QQ的木马中比较常见,比如把QQ的启动文档从QQ2000b.ico改成QQ2000b.ico.exe(默认设置(Windows是不显示扩展名的,所以会显示QQ2000b.ico的信息,客户会认为是标志),然后把木马程序改成QQ2000b.ico。此后客户 *** 作了QQ,具体来说就是QQ木马,然后真正的QQ就是由QQ木马启动的。这种方法比前一种简单多了。
3.文件关联
隐蔽性:5颗星
应用级别:通用
一般木马程序都会把自己和TXT文档或者EXE文件关联起来,这样你打开一个文本文档或者运行一个程序,木马就会不着痕迹的启动。
每一台被入侵或感染病毒、植入木马的电脑都有一次不寻常的经历,比如浏览一些诈骗网站、安装病原体程序、安装恶意程序等人们很少关注的疑难问题。发现木马病原体很难,但查杀病毒并不太难。一般情况下,删除相关文档和注册表文件的键值就足够了。期待的方法可以帮助你。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)