日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁 > 云知道 > >

揪出系統(tǒng)中秘密隱藏的木馬

云知道

【揪出系統(tǒng)中秘密隱藏的木馬】 木馬為了生存會想盡辦法隱藏自己,早期的木馬通常會采用以下方式來實現(xiàn)自啟動,比方說通過“開始”菜單的“啟動”項來加載自己,通過注冊表的有關(guān)項目來啟動木馬,還有的木馬會注冊為系統(tǒng)服務(wù)來迷惑我們 。不過,除此之外木馬還有多種隱藏自己的方法,所以我們絕不能掉以輕心 。知己知彼,方能百戰(zhàn)不殆,下面我們就談?wù)勥@些鮮為人知的木馬隱藏方法 。
“組策略”中的木馬
通過“組策略”來加載木馬非常隱蔽,不易為人所發(fā)現(xiàn) 。具體方法是:點擊“開始”菜單中的“運行”,輸入“Gpedit.msc”并回車,這樣就可以打開“組策略”,在“本地計算機策略”中順次點擊“用戶配置→管理模板→系統(tǒng)→登錄”(圖1),然后雙擊“在用戶登錄時運行這些程序”子項,出現(xiàn)如圖所示對話框(圖2),在這里進行屬性設(shè)置,選定“設(shè)置”中的“已啟用”,接下來單擊“顯示”按鈕,會彈出“顯示內(nèi)容”窗口(圖3),再單擊“添加”按鈕,出現(xiàn)“添加項目”窗口(圖4),在其中的文本框中輸入要自動運行的文件所在的路徑,最后單擊“確定”按鈕,然后重新啟動計算機就可以了,系統(tǒng)在登錄時會自動啟動我們添加的程序 。注意:如果自啟動的文件不是位于%Systemroot%目錄中,則必須指定文件的完整路徑 。
如果我們剛才在“組策略”中添加的是木馬,就會誕生一個“隱形”的木馬!這是因為在“系統(tǒng)配置實用程序”Msconfig中你是無法發(fā)現(xiàn)該木馬的,在大家周知的注冊表項如HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun項和HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun項你也無法找到相應(yīng)的鍵值,所以這種加載木馬的方式還是非常隱蔽的,對普通用戶來說威脅也更大一些
難道這種加載木馬的啟動方式就那么無懈可擊嗎?當(dāng)然不是!其實,通過這種方式添加的自啟動程序依然被記錄在注冊表中,只不過不是在我們所熟悉的那些注冊表項下,而是在在注冊表的HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun項中 。所以,如果你懷疑電腦中可能有木馬,卻找不到它躲在哪兒,那就到上述注冊表項目或者組策略選項中看看,也許你會有所發(fā)現(xiàn)!

暗藏殺機的注冊表項
利用注冊表項加載木馬一直是木馬的最愛,我們也很熟悉它們的這種手段了,不過有一種新的利用注冊表來隱藏木馬的方法您可能還不知道,具體方法是:點擊“開始”菜單中的“運行”,輸入Regedit回車,打開注冊表編輯器 。展開注冊表到HKEY_CURRENT_USERSoftwareMicrosoftWin dowsNTCurrentVersionWindows項,新建一個字符串值,命名為“l(fā)oad”,把它的鍵值改為自啟動程序的路徑即可 。注意:要使用文件的短文件名,即“C:Program Files”應(yīng)該寫為“C:Progra~1”,且自啟動程序的后面不能帶有任何參數(shù) 。另外要提醒大家注意的是,如果改為在注冊表的HKEY_USERS用戶ID號SoftwareMicrosoftWindows NTCurrentVersionWindows項加載,則本方法對其他用戶也有效,否則換個用戶名登陸就不管用了 。
建議大家以后檢查木馬及病毒程序時也要注意這里,免得被人有機可乘 。另外,這個方法只對Windows 2000/XP/2003有效,使用Windows 9x的用戶不用擔(dān)心 。
利用AutoRun.inf加載木馬
經(jīng)常使用光盤的朋友都知道,某些光盤放入光驅(qū)后會自動運行,這種功能的實現(xiàn)主要靠兩個文件,一個是系統(tǒng)文件之一的Cdvsd.vxd,一是光盤上的AutoRun.inf文件 。Cdvsd.vxd會隨時偵測光驅(qū)中是否有放入光盤的動作,如果有的話,便開始尋找光盤根目錄下的AutoRun.inf文件 。如果存在AutoRun.inf文件則執(zhí)行它里面的預(yù)設(shè)程序 。

推薦閱讀