特絡伊木馬如何利用檔案關聯和設定
我們知道,在登錄檔HKEY_LOCAL_MACHINE SoftwareMicrosoftWindowsCurrentVersionRun下可以載入程式,木馬也抓住這點瘋狂入侵!我們該怎麼辦呢!下面由小編給你做出詳細的名介紹!希望對你有幫助!
名介紹:
具體說來,就是更改檔案的開啟方式,這樣就可以使程式跟隨您開啟的那種檔案型別一起啟動。舉例來說,開啟登錄檔,展開登錄檔到HKEY_CLASSES_ROOTexefileshell
opencommand,這裡是exe檔案的開啟方式,預設鍵值為:“%1”%*。如果把預設鍵值改為Trojan.exe“%1”%*,您每次執行exe檔案,這個Trojan.exe檔案就會被執行。木馬灰鴿子就採用關聯exe檔案的開啟方式,而大名鼎鼎的木馬冰河採用的是也與此相似的一招——關聯txt檔案。
對付這種隱藏方法,主要是經常檢查登錄檔,看檔案的開啟方式是否發生了變化。如果發生了變化,就將開啟方式改回來。最好能經常備份登錄檔,發現問題後立即用備份檔案恢復登錄檔,既方便、快捷,又安全、省事。
木馬對裝置名的利用
大家知道,在Windows下無法以裝置名來命名檔案或資料夾,這些裝置名主要有aux、com1、com2、prn、con、nul等,但Windows 2000/XP有個漏洞可以以裝置名來命名檔案或資料夾,讓木馬可以躲在那裡而不被發現。
具體方法是:點選“開始”選單的“執行”,輸入cmd.exe,回車進入命令提示符視窗,然後輸入md c:con\命令,可以建立一個名為con的目錄。預設請況下,Windows是無法建立這類目錄的,正是利用了Windows的漏洞我們才可以建立此目錄。再試試輸入md c:aux\命令,可以建立aux目錄,輸入md c:prn\可以建立prn目錄,輸入md c:com1\目錄可以建立Com1目錄,而輸入md c: ul\則可以建立一個名為nul的目錄。在資源管理器中依次點選試試,您會發現當我們試圖開啟以aux或com1命名的資料夾時,explorer.exe失去了響應,而許多“牧馬人”就是利用這個方法將木馬隱藏在這類特殊的資料夾中,從而達到隱藏、保護木馬程式的目的。
現在,我們可以把檔案複製到這個特殊的目錄下,當然,不能直接在Windows中複製,需要採用特殊的方法,在CMD視窗中輸入copy muma.exe \.c:aux\命令,就可以把木馬檔案muma.exe複製到C盤下的aux資料夾中,然後點選“開始”選單中的“執行”,在“執行”中輸入c:aux muam.exe,就會成功啟動該木馬。我們可以通過點選資料夾名進入此類特殊目錄,不過,如果您要試圖在資源管理器中刪除它,會發現這根本就是徒勞的,Windows會提示找不到該檔案。
由於使用del c:aux\命令可以刪除其中的muma.exe檔案,所以,為了達到更好的隱藏和保護效果,下木馬者會把muma.exe檔案也改名,讓我們很難刪除。具體方法就是在複製木馬檔案到aux資料夾時使用命令copy muma.exe \.c:con.exe,就可以把木馬檔案muma.exe複製到aux目錄中,並且改名為con.exe,而con.exe檔案是無法用普通方法刪除的。
可能有的朋友會想,這個con.exe檔案在“開始”選單的“執行”中無法執行啊。其實不然,只要在命令列方式下輸入cmd /c \.c:con就可以執行這個程式了。在執行時會有一個cmd視窗一閃而過,下木馬者一般來說會對其進行改進,方法有很多,可以利用開機指令碼,也可以利用cmd.exe的autorun:在登錄檔HKEY_LOCAL_ MACHINESoftwareMicrosoftCommand Processor下建一個字串AutoRun,值為要執行的.bat檔案或.cmd檔案的路徑,如c:winntsystem32auto.cmd,如果建立相應的檔案,它的內容為@\.c:con,就可以達到隱蔽的效果。
對於這類特殊的資料夾,發現後我們可以採用如下方法來刪除它:先用del \.c:con.exe命令刪除con.exe檔案***該檔案假設就是其中的木馬檔名***,然後再用rd \.c:aux命令刪除aux資料夾即可。
好了,文章到這裡就結束了。由於水平有限,文中如有不正確或值得商榷的地方歡迎大家批評指點,另外,寫作時曾參閱過網上高手們的帖子,受益匪淺,在此一併謝過!
不過,AutoRun不僅能應用於光碟中,同樣也可以應用於硬碟中***要注意的是,AutoRun.inf必須存放在磁碟根目錄下才能起作用***。讓我們一起看看AutoRun.inf檔案的內容吧。
開啟記事本,新建一個檔案,將其命名為AutoRun.inf,在AutoRun.inf中鍵入以下內容:
[AutoRun]
Icon=C:WindowsSystemShell32.DLL,21
Open=C:Program FilesACDSeeACDSee.exe
其中,“[AutoRun]”是必須的固定格式,一個標準的AutoRun檔案必須以它開頭,目的是告訴系統執行它下面幾行的命令;第二行“Icon=C:WindowsSystemShell32.DLL,21”是給硬碟或光碟設定一個個性化的圖示,“Shell32.DLL”是包含很多Windows圖示的系統檔案,“21”表示顯示編號為21的圖示,無數字則預設採用檔案中的第一個圖示;第三行“Open=C:Program FilesACDSeeACDSee.exe”指出要執行程式的路徑及其檔名。
如果把Open行換為木馬檔案,並將這個AutoRun.inf檔案設定為隱藏屬性,我們點選硬碟時就會啟動木馬。
為防止遭到這樣的“埋伏”,可以禁止硬碟AutoRun功能。在“開始”選單的“執行”中輸入Regedit,開啟登錄檔編輯器,展開到HKEY_CURRENT_USERSoftware
MicrosoftWindowsCurrentVersionPoliciesExploer主鍵下,在右側視窗中找到“NoDriveTypeAutoRun”,就是它決定了是否執行CDROM或硬碟的AutoRun功能。將其鍵值改為9D,00,00,00就可以關閉硬碟的AutoRun功能,如果改為B5,00,00,00則禁止光碟的AutoRun功能。修改後重新啟動計算機,設定就會生效。