日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁(yè) > 云知道 > >

木馬寄存方式收集

云知道

【木馬寄存方式收集】第一招:利用系統(tǒng)啟動(dòng)文件
1; 注冊(cè)表; CurrentUserSoftWareMicrosoftWindowsCurrentVersion下的所有run有關(guān)的子鍵
2 注冊(cè)表 LocalMachineSoftWareMicrosoftWindowsCurrentVersion下的所有run有關(guān)的子鍵
3 注冊(cè)表 CurrentUserSoftWareMicrosoftWindows NTCurrentVersion鍵名為load的字符型數(shù)據(jù)
4 注冊(cè)表 LocalMachineSoftWareMicrosoftWindows NTCurrentVersion鍵名為load的字符型數(shù)據(jù)
第二招:關(guān)聯(lián)類型文件使木馬運(yùn)行
在業(yè)內(nèi)著名的木馬冰河就是這樣啟動(dòng)的,它關(guān)聯(lián)的是exe類型的文件,方法如下:(以下方法是我在我的win2003中測(cè)試通過(guò)的)
注冊(cè)表 ClassRoot 下的.exe; 文件打開(kāi)方式為exefile,我們就找到exefile子鍵,然后exefile該鍵下有一個(gè)shell子鍵,在shell子鍵下有open子鍵,在open下有command子鍵,command里有default鍵,value為"%1" %*; 我們把它改變?yōu)?木馬路徑 "%1" %* 就可以了
當(dāng)然win2000 或 win98中是不一樣的 我剛才測(cè)試了 冰河作者看來(lái)也是心狠手辣啊

第三招:文件捆綁使木馬運(yùn)行
捆綁和關(guān)聯(lián)文件不同,關(guān)聯(lián)是修改注冊(cè)表,但捆綁類似于病毒的“感染”,就是把木馬的進(jìn)程感染到其他的執(zhí)行文件上,業(yè)內(nèi)著名木馬“網(wǎng)絡(luò)公牛 - Netbull”就是利用這種方法進(jìn)行啟動(dòng) 。
網(wǎng)絡(luò)公牛服務(wù)端名稱newserver.exe,運(yùn)行后自動(dòng)脫殼到c:windowssystemcheckdll.exe目錄下,下次開(kāi)機(jī)自動(dòng)運(yùn)行,同時(shí)服務(wù)端在運(yùn)行時(shí)會(huì)自動(dòng)捆綁以下文件:
win9x: notepad.exe write.exe regedit.exe winmine.exe winhelp.exe
winnt: notepad.exe regedit.exe reged32.exe drwtsn32.exe winmine.exe
并且自動(dòng)搜索系統(tǒng)啟動(dòng)項(xiàng)程序,捆綁之 。比如qq.exe realplay.exe
除非把以上文件全部刪除,否則無(wú)法清除,但系統(tǒng)文件刪除后系統(tǒng)就無(wú)法正常運(yùn)行,所以大多數(shù)人只能重裝系統(tǒng) 。確實(shí)牛 。
第四招: 進(jìn)程保護(hù)
兩個(gè)木馬進(jìn)程,互相監(jiān)視,發(fā)現(xiàn)對(duì)方被關(guān)閉后啟動(dòng)對(duì)方 。技術(shù)其實(shí)不神秘,方法如下:
while (true)
{
System.Threading.Thread.Sleep(500);
//檢查對(duì)方進(jìn)程是否關(guān)閉,關(guān)閉的話再打開(kāi) 。
}
第五招:巧用啟動(dòng)文件夾
開(kāi)始菜單的啟動(dòng)文件夾內(nèi)的文件在系統(tǒng)啟動(dòng)后會(huì)隨系統(tǒng)啟動(dòng),假如將一個(gè)exe文件或exe文件的快捷方式復(fù)制到啟動(dòng)文件夾內(nèi),太明顯,但設(shè)置隱藏屬性后不會(huì)被系統(tǒng)啟動(dòng) 。
有一個(gè)辦法,將啟動(dòng)文件夾改名為啟動(dòng)a,并將該文件隱藏,然后再新建一個(gè)啟動(dòng)文件夾,將原啟動(dòng)文件夾內(nèi)的所有內(nèi)容復(fù)制到新建的啟動(dòng)文件夾,這樣就可以了 。(其實(shí)系統(tǒng)還是會(huì)啟動(dòng)原來(lái)的啟動(dòng)文件夾內(nèi)的內(nèi)rogn,也就是現(xiàn)在被改為"啟動(dòng)a"的文件夾,而現(xiàn)在我們新建的"啟動(dòng)"文件夾只是一個(gè)擺設(shè)而已,因?yàn)樵谶@里的"啟動(dòng)a"對(duì)應(yīng)著注冊(cè)表local_machinesoftwaremicrosoftwindowscurrentversionexplorerstartmenu內(nèi)的common startup鍵值,當(dāng)我們更該原來(lái)系統(tǒng)的啟動(dòng)文件夾的名字為"啟動(dòng)a"的時(shí)候該鍵值也會(huì)改為“C:Documents and SettingsAll Users開(kāi)始Programs啟動(dòng)a”)

另外可在local_machinesoftwaremicrosoftwindowscurrentversion下建立RunServices子鍵來(lái)實(shí)現(xiàn)自啟動(dòng),和run不同,run是系統(tǒng)啟動(dòng)后加載,runservices是系統(tǒng)登錄時(shí)就啟動(dòng)

在系統(tǒng)根目錄下放置Explorer.exe文件,在Explorer.exe文件中去啟動(dòng)正常的Explorer.exe文件,可以在C盤和D盤下都放上 。

    推薦閱讀