《木马启动方法汇总》由会员分享,可在线阅读,更多相关《木马启动方法汇总(3页珍藏版)》请在金锄头文库上搜索。
1、木马启动方法汇总木马是随计算机或 Windows 的启动而启动并掌握一定的控制权的,其启动方式可谓多种多样, 通过注册表启动、通过 System.ini 启动、通过某些特定程序启动等,真是防不胜防。下面,本文为大 家介绍黑客常用的木马启动方式:一、通过开始程序启动隐蔽性:2星 应用程度:较低 这也是一种很常见的方式,很多正常的程序都用它,大家常用的QQ就是用这种方式实现自启动 的,但木马却很少用它。因为启动组的每人会会出现在“系统配置实用程序” (msconfig.exe,以 下简称msconfig)中。事实上,出现在“开始”菜单的“程序启动”中足以引起菜鸟的注意,所 以,相信不会有木马用这种
2、启动方式。二、通过Win.ini文件隐蔽性:3星 应用程度:较低 同启动组一样,这也是从Windows3.2开始就可以使用的方法,是从Winl6遗传到Win32的。在Windows3.2中,Win.ini就相当于Windows9x中的注册表,在该文件中的Windows域中的load 和 run 项会在 Windows 启动时运行,这两个项目也会出现在 msconfig 中。三、通过注册表启动l 、通过 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun, HKEY_LOCAL_MACHINESoftwareMicrosoftWi
3、ndowsCurrentVersionRun和 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices 隐蔽性:3 .5星应用程度:极高应用案例:BO2OOO, GOP, NetSpy,IEthief,冰河这是很多Windows程序都采用的方法,也是木马最常用的。使用非常方便,但也容易被人发现, 由于其应用太广,所以几乎提到木马,就会让人想到这几个注册表中的主键,通常木马会使用最 后一个。使用Windows自带的程序:msconfig或注册表编辑器(regedit.exe,以下简称regedit)都可 以将它轻易的
4、删除,所以这种方法并不十分可靠。但可以在木马程序中加一个时间控件,以便实 时监视注册表中自身的启动键值是否存在,一旦发现被删除,则立即重新写入,以保证下次 Windows启动时自己能被运行。这样木马程序和注册表中的启动键值之间形成了一种互相保护的 状态。木马程序未中止,启动键值就无法删除(手工删除后,木马程序又自动添加上了),相反的, 不删除启动键值,下次启动Windows还会启动木马。怎么办呢?其实破解它并不难,即使在没有 任何工具软件的情况下也能轻易解除这种互相保护。破解方法:首先,以安全模式启动Windows,这时,Windows不会加载注册表中的项目,因此木 马不会被启动,相互保护的状
5、况也就不攻自破了;然后,你就可以删除注册表中的键值和相应的 木马程序了。2、通过 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce, HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce和 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesOnce 隐蔽性:4星 应用程度:较低 应用案例:Happy99月 这种方法好像用的人不是很多,但隐蔽性比上一种方法好,它的内
6、容不会出现在 msconfig 中。 在这个键值下的项目和上一种相似,会在Windows启动时启动,但Windows启动后,该键值下 的项目会被清空,因而不易被发现,但是只能启动一次,木马如何能发挥效果呢? 其实很简单,不是只能启动一次吗?那木马启动成功后再在这里添加一次不就行了吗 ?在 Delphi 中这不过 3、5 行程序。虽说这些项目不会出现在 msconfig 中,但是在 Regedit 中却可以直接将 它删除,那么木马也就从此失效了。还有一种方法,不是在启动的时候加而是在退出 Windows 的时候加,这要求木马程序本身要截 获 WIndows 的消息,当发现关闭 Windows 消
7、息时,暂停关闭过程,添加注册表项目,然后才开 始关闭Windows,这样用Regedit也找不到它的踪迹了。这种方法也有个缺点,就是一旦Windows 异常中止,木马也就失效了。破解他们的方法也可以用安全模式。 另外使用这三个键值并不完全一样,通常木马会选择第一个,因为在第二个键值下的项目会在 Windows 启动完成前运行,并等待程序结束会才继续启动 Windows。四、通过 Autoexec.bat 文件,或 winstart.bat, config.sys 文件隐蔽性:3.5星应用程度:较低其实这种方法并不适合木马使用,因为该文件会在Windows启动前运行,这时系统处于DOS环 境,只
8、能运行16位应用程序,Windows下的32位程序是不能运行的。因此也就失去了木马的意 义。不过,这并不是说它不能用于启动木马。可以想象,SoftIce for Win98(功能强大的程序调试 工具,被黑客奉为至宝,常用于破解应用程序)也是先要在 Autoexec.bat 文件中运行然后才能在 Windows中呼叫出窗口,进行调试的,既然如此,谁能保证木马不会这样启动呢?另外,这两个BAT文件常被用于破坏,它们会在这个文件中加入类似Deltree C:*.*和Format C:/u的行,这样,在你启动计算机后还未启动Windows,你的C盘已然空空如也。五、通过 System.ini 文件隐蔽
9、性:5星应用程度:一般事实上, System.ini 文件并没有给用户可用的启动项目,然而通过它启动却是非常好用的。在System.ini文件的Boot域中的Shell项的值正常情况下是Explorer.exe,这是Windows的外壳程 序,换一个程序就可以彻底改变 Windows 的面貌(如改为 Progman.exe 就可以让 Win9x 变成 Windows3.2)。我们可以在Explorer.exe,后加上木马程序的路径,这样Windows启动后木马也就 随之启动,而且即使是安全模式启动也不会跳过这一项,这样木马也就可以保证永远随Windows 启动了,名噪一时的尼姆达病毒就是用的这
10、种方法。这时,如果木马程序也具有自动检测添加 Shell 项的功能的话,那简直是天衣无缝的绝配,我想除了使用查看进程的工具中止木马,再修 改Shell项和删除木马文件外是没有破解之法了。但这种方式也有个先天的不足,因为只有Shell 这一项,如果有两个木马都使用这种方式实现自启动,那么后来的木马可能会使前一个无法启动。六、通过某特定程序或文件启动1、寄生于特定程序之中隐蔽性:5星应用程度:一般 即木马和正常程序捆绑,有点类似于病毒,程序在运行时,木马程序先获得控制权或另开一 个线程以监视用户操作,截取密码等,这类木马编写的难度较大,需要了解PE文件结构和 Windows 的底层知识(直接使用捆
11、绑程序除外)。2、将特定的程序改名隐蔽性:5星应用程度:常见这种方式常见于针对 QQ 的木马, 例如将 QQ 的启动文件 QQ2000b.exe, 改为 QQ2000b.ico.exe(Windows默认是不显示扩展名的,因此它会被显示为QQ2000b.ico,而用户 会认为它是一个图标),再将木马程序改为QQ2000b.exe,此后,用户运行QQ,实际是运行了 QQ木马,再由QQ木马去启动真正的QQ,这种方式实现起来要比上一种简单的多。3、文件关联隐蔽性:5星应用程度:常见通常木马程序会将自己和TXT文件或EXE文件关联,这样当你打开一个文本文件或运行一 个程序时,木马也就神不知鬼不觉的启动了。这类通过特定程序或文件启动的木马,发现比较困难,但查杀并不难。一般地,只要删除相应的文 件和注册表键值即可。
