日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁 > 云知道 > >

揪出系統(tǒng)中秘密隱藏的木馬( 二 )

云知道


這個貌似神奇的功能其實很簡單,不僅能應(yīng)用于光盤中,同樣也可以應(yīng)用于硬盤中(要注意的是AutoRun.inf必須存放在磁盤根目錄下才能起作用) 。讓我們一起看看AutoRun.inf文件的內(nèi)容吧 。打開記事本,新建一個文件,將其命名為AutoRun.inf,在AutoRun.inf中鍵入以下內(nèi)容:
[AutoRun]
Icon=C:WindowsSystemShell32.DLL,21
Open=C:Program FilesACDSeeACDSee.exe
解釋一下:一個標準的AutoRun文件必須以[AutoRun]開頭,第二行Icon=C:WindowsSystemShell32.DLL,21用來給硬盤或光盤設(shè)定一個圖標 。Shell32.DLL是Windows系統(tǒng)文件,里面包含了很多Windows的系統(tǒng)圖標 。數(shù)字21表示顯示編號為21的圖標;第三行Open=C:Program FilesACDSeeACDSee.exe指出要運行程序的路徑及其文件名 。
如果把Open行換為木馬文件,并將這個AutoRun.inf文件設(shè)置為隱藏屬性(不易被發(fā)現(xiàn)),則點擊硬盤就會啟動木馬!反過來講,這倒的確是一種很不錯的程序自啟動方式 。
為防止遭到這樣的“埋伏”,可以禁止硬盤AutoRun功能 。打開注冊表編輯器,展開到HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExploer主鍵下,在右側(cè)窗口中找到“NoDriveTypeAutoRun”,就是它決定了是否執(zhí)行CDROM或硬盤的AutoRun功能 。將其鍵值改為9D,00,00,00就可關(guān)閉硬盤的AutoRun功能,把它的鍵值改為B5,00,00,00則可禁止光盤的AutoRun功能 。注意改后要重新啟動計算機才能生效 。
屏幕保護也可能成為木馬的幫兇
Windows的屏幕保護程序?qū)?yīng)的是.scr文件,在默認情況下保存在Windows的安裝目錄下 。如果把.scr更名為.exe文件,則該程序仍然可以正常啟動 。與此類似,.exe文件更名為.scr文件也照樣可以運行!順便提一下,把.exe文件改名為.com、.pif、.bat后,exe文件仍舊可以自由運行!這在exe文件關(guān)聯(lián)丟失后非常有用,我們可以把exe文件的擴展名改為上述擴展名程序就可以運行了 。
在屏幕保護程序中,我們可以設(shè)定它的等待時間,這個啟動時間其實是可以在注冊表中設(shè)定的: HKEY_USERS.DEFAULTControl Paneldesktop,其下的字符串值ScreenSaveTimeOut記錄的就是屏保程序的等待時間,時間單位為秒,從60秒開始記錄,如果記錄時間小于60秒,則自動定為1分鐘 。是否選擇了屏幕保護程序可以在system.ini文件中看出來 。在“開始”菜單的“運行”中輸入msconfig,找到System標簽,找到里面的[boot]小節(jié),你可以看到有“SCRNSAVE.EXE=”這一行 。在它后面是屏保文件的路徑 。如果你設(shè)定了屏保程序,這一行前面就會有一個“√”,反之則沒有“√” 。
由上面的介紹可以產(chǎn)生一個聯(lián)想:如果把.exe文件重命名為.scr文件(假設(shè)改為trojan.scr),并在SYSTEM.INI中添加“SCANSAVE.EXE=C:Program filestrojan.scr”,然后修改注冊表中的HKEY_USERS.DEFAULTControl Paneldesktop下的字符串值ScreenSaveTimeOut,把其鍵值改為60,則系統(tǒng)只要閑置一分鐘該文件就會被啟動!由此可以看出,如果這種方法被木馬或病毒等惡意程序所利用,后果非常可怕 。防范這種攻擊的方法就是禁止使用屏幕保護功能!

推薦閱讀