《让病毒或木马自动运行的多种技术[借鉴]》由会员分享,可在线阅读,更多相关《让病毒或木马自动运行的多种技术[借鉴](4页珍藏版)》请在金锄头文库上搜索。
1、网络时代可不太平,谁没有遭遇过病毒或木马?从CIH 、I Love You 到红色代码、 Nimda,从 BO 到冰河, 无一不是网友经常懈逅的对象。怎么避免这些“ 艳遇 ” 是广大用户孜孜以求的目标,不过,“ 道高一尺,魔高 一丈 ” ,“ 防” 永远是落后的,主动消灭它们才是积极主动的。 要消灭它们,首先就要掌握病毒及木马是怎么入侵我们的爱机 的。有关病毒及木马的入侵招数的文 章很多,但都不太全面,编者偶然间发现了一篇作者不详,但内容颇为全面的文章,特意整理出来,希望 对大家有所帮助。 一、修改批处理 很古老的方法,但仍有人使用。一般通过修改下列三个文件来作案: Autoexec.bat(
2、自动批处理,在引导系统时执行) Winstart.bat(在启动 GUI 图形界面环境时执行) Dosstart.bat(在进入 MS-DOS 方式时执行 ) 例如:编辑 C:windowsDosstart.bat ,加入: start Notepad,当你进入 “MS -DOS 方式 ” 时,就可以看到记 事本被启动了。 二、修改系统配置 常使用的方法,通过修改系统配置文件System.ini、Win.ini 来达到自动运行的目的,涉及范围有: 在 Win.ini 文件中: windows load=程序名 run=程序名 在 System.ini 文件中: boot shell=Explo
3、rer.exe 其中修改System.ini 中 Shell 值的情况要多一些,病毒木马通过修改这里使自己成为Shell,然后加载 Explorer.exe,从而达到控制用户电脑的目的。 三、借助自动运行功能 这是黑客最新研发成果,之前该方法不过被发烧的朋友用来修改硬盘的图标而已,如今它被赋予了新 的意义,黑客甚至声称这是Windows 的新 BUG。 Windows 的自动运行功能确实很烂,早年许多朋友因为自动运行的光盘中带有CIH 病毒而中招,现在 不少软件可以方便地禁止光盘的自动运行,但硬盘呢?其实硬盘也支持自动运行,你可尝试在D 盘根目录 下新建一个 Autorun.inf ,用记事本
4、打开它,输入如下内容: autorun 1 / 4 open=Notepad.exe 保存后进入 “ 我的电脑 ” ,按 F5 键刷新一下,然后双击D 盘盘符,怎么样?记事本打开了,而D 盘却 没有打开。 当然,以上只是一个简单的实例,黑客做得要精密很多,他们会把程序改名为“ .exe”(不是空格,而 是中文的全角空格, 这样在 Autorun.inf 中只会看到 “open= ” 而被忽略, 此种行径在修改系统配置时也常使 用,如 “run= ” ;为了更好地隐藏自己,其程序运行后,还会替你打开硬盘,让你难以查觉。 由此可以推想,如果你打开了D 盘的共享,黑客就可以将木马和一个Autorun
5、.inf存入该分区,当 Windows 自动刷新时,你也就“ 中奖 ” 了,因此,大家千万不要共享任何根目录,当然更不能共享系统分区 (一般为 C:) 。 四、通过注册表中的Run 来启动 很老套的方法,但80%的黑客仍在使用,通过在Run、 RunOnce、 RunOnceEx、RunServices、 RunServicesOnce 中添加键值,可以比较容易地实现程序的加载,黑客尤其方便在带”Once”的主键中作手脚, 因此带 “Once ” 的主键中的键值,在程序运行后将被删除,因此当用户使用注册表修改程序查看时,不会发 现异样。另外,还有这样的程序:在启动时删除Run 中的键值,而在退
6、出时(或关闭系统时)又添加键值, 达到隐蔽自己的目的。(这种方法的缺点是:害怕恶意关机或停电,呵呵!) 五、通过文件关联启动 很受黑客喜爱的方式,通过EXE 文件的关联 (主键为: exefile),让系统在执行任何程序之前都运行木 马,真的好毒!通常修改的还有txtfile( 文本文件的关联,谁不用用记事本呢?)、regfile( 注册表文件关联, 一般用来防止用户恢复注册表,例如让用户双击.reg 文件就关闭计算机)、unkown(未知文件关联 )。为了防 止用户恢复注册表,用此法的黑客通常还连带谋杀scanreg.exe 、sfc.exe、Extrac32.exe、regedit.exe
7、 等程序, 阻碍用户修复。六、通过 API HOOK启动 这种方法较为高级,通过替换系统的DLL 文件,让系统启动指定的程序。例如:拨号上网的用户必须 使用 Rasapi32.dll 中的 API 函数来进行连接, 那么黑客就会替换这个DLL ,当用户的应用程序调用这个API 函数,黑客的程序就会先启动,然后调用真正的函数完成这个功能(特别提示:木马可不一定是EXE,还 可以是 DLL 、VXD ) ,这样既方便又隐蔽(不上网时根本不运行)。中此绝毒的虫子,只有两种选择:Ghost 或重装系统,幸好此毒廖廖无几,实属万虫之幸! API 的英文全称为: Application Programmi
8、ng Interface ,也就是应用程序编程接口。在Windows 程序设 计领域发展初期, Windows 程序员所能使用的编程工具唯有API 函数,这些函数是Windows 提供给应用程 序与操作系统的接口,他们犹如“ 积木块 ” 一样,可以搭建出各种界面丰富,功能灵活的应用程序。所以可 以认为 API 函数是构筑整个Windows 框架的基石,在它的下面是Windows 的操作系统核心,而它的上面 则是所有华丽的Windows 应用程序。 七、通过 VXD 启动 此法也是高手专用版,通过把木马写成VXD形式加载,直接控制系统底层,极为罕见。它们一般在 2 / 4 注册表 HKEY_ L
9、OCAL_MACHINESystemCurrentControlSetServicesVxD主键中启动, 很难发觉, 解决方 法最好也是用Ghost 恢复或重新干净安装。 八、通过浏览网页启动 通过此种途径有两种方法: 利用 MIME漏洞:这是2001 年黑客中最流行的手法,因为它简单有效,加上宽带网的流行,令用户 防不胜防,想一想,仅仅是鼠标变一下“ 沙漏 ” ,木马就安装妥当,Internet 真是太 “ 方便 ” 了!不过今年有所 减少,一方面许多人都改用IE6.0 ;另一方面,大部分个人主页空间都不允许上传.eml 文件了。 MIME 被称为多用途Internet 邮件扩展 (Mult
10、ipurpose Internet Mail Extensions ) ,是一种技术规范, 原用 于电子邮件,现在也可以用于浏览器。MIME对邮件系统的扩展是巨大的,在它出现前,邮件内容如果包 含声音和动画,就必须把它变为ASCII 码或把二进制的信息变成可以传送的编码标准,而接收方必须经过 解码才可以获得声音和图画信息。MIME提供了一种可以在邮件中附加多种不同编码文件的方法,这与原 来的邮件是大大不同的。而现在MIME 已经成为了HTTP 协议标准的一个部分。 九、利用 Java applet 划时代的Java 更高效、更方便 不过是悄悄地修改你的注册表,让你千百次地访问黄(黑)色网站,
11、让你关不了机,让你 ,还可以让你中木马。这种方法其实很简单,先利用HTML 把木马下载到你的缓 存中,然后修改注册表,指向其程序。 十、利用系统自动运行的程序 这一条主要利用用户的麻痹大意和系统的运行机制进行,命中率很高。在系统运行过程中,有许多程 序是自动运行的,比如:磁盘空间满时,系统自动运行“ 磁盘清理 ” 程序 (cleanmgr.exe);启动资源管理器失 败时,双击桌面将自动运行“ 任务管理器 ” 程序 (Taskman.exe);格式化磁盘完成后,系统将提示使用“ 磁盘扫 描” 程序 (scandskw.exe);点击帮助或按F1 时,系统将运行Winhelp.exe 或 Hh.
12、exe 打开帮助文件;启动时, 系统将自动启动 “ 系统栏 ” 程序 (SysTray.exe)、“ 输入法 ” 程序 (internat.exe)、“ 注册表检查 ” 程序 (scanregw.exe)、 “ 计划任务 ” 程序 (Mstask.exe)、“ 电源管理 ” 程序等。 这为恶意程序提供了机会,通过覆盖这些文件,不必修改任何设置系统就会自动执行它们!而用户在 检查注册表和系统配置时不会引起任何怀疑,例如“ 注册表检查 ” 程序的作用是启动时检查和备份注册表, 正常情况不会有任何提示,那么它被覆盖后真可谓是“ 神不知、鬼不觉 ” 。当然,这也许会被“ 系统文件检查 器” 检查(但勤
13、快的人不多)出来。 黑客还有一高招 “ 偷天换日 ” !不覆盖程序也可达到这个目的,方法是:利用System 目录比Windows 目录优先的特点,以相同的文件名,将程序放到System 目录中。你可以试试,将Notepad.exe(记事本 )复制 到 System 目录中,并改名为Regedit.exe(注册表编辑器 ),然后从 “ 开始 ”“运行 ” 中,输入 “Regedit ”回车, 你会发现运行的竟然是那个假冒的Notepad.exe!同样,如果黑客将程序放到System 中,然后在运行时调 用真正的Regedit,谁知道呢? (这种方法由于大部分目标程序不是经常被系统调用,因此常被
14、黑客用来作 为被删除后的恢复方法,如果某个东东被删除了又出现,不妨检查检查这些文件。) 十一、还有什么“ 高招 ” 3 / 4 黑客还常常使用名字欺骗技术和运行假象与之配合。名字欺骗技术如上述的全角空格主文件名“ .exe” 就是一例,另外常见的有在修改文件关联时,使用“ ”(ASCII 值 255,输入时先按下Alt 键,然后在小键盘 上输入255)作为文件名,当这个字符出现在注册表中时,人们往往很难发现它的存在。此外还有利用字 符相似性的,如:“Systray.exe ”和 “5ystray ”(5 与大写S 相似 );长度相似性的,如:“Explorer.exe ”和 “Explore.exe”(后者比前者少一个字母,心理学实验证明,人的第一感觉只识别前四个字母,并对长度不敏 感);运行假象则是指运行某些木马时,程序给出一个虚假的提示来欺骗用户。一个运行后什么都没有的程 序,地球人都知道不是什么好东西;但对于一个提示“ 内存不足的程序,恐怕还在埋怨自己的内存太少哩! 4 / 4
