| 關于木馬病毒的六種啟動方式 |
|
|
| 睡不著 2007-12-20 |
木馬是隨計算機或Windows的啟動而啟動並掌握一定的控制權的,其啟動方式可謂多種多樣,通過注冊表啟動、通過System.ini啟動、通過某些特定程序啟動等,真是防不勝防。其實只要能夠遏制住不讓它啟動,木馬就沒什麼用了,這裡就簡單說說木馬的啟動方式,知己知彼百戰不殆嘛。
一、通過"開始\程序\啟動"
隱蔽性:2星
應用程度:較低
這也是一種很常見的方式,很多正常的程序都用它,大家常用的QQ就是用這種方式實現自啟動的,但木馬卻很少用它。因為啟動組的每人會會出現在“系統配置實用程序”(msconfig.exe,以下簡稱msconfig)中。事實上,出現在“開始”菜單的“程序\啟動”中足以引起菜鳥的注意,所以,相信不會有木馬用這種啟動方式。
二、通過Win.ini文件
隱蔽性:3星
應用程度:較低
同啟動組一樣,這也是從Windows3.2開始就可以使用的方法,是從Win16遺傳到Win32的。在Windows3.2中,Win.ini就相當于Windows9x中的注冊表,在該文件中的[Windows]域中的load和run項會在Windows啟動時運行,這兩個項目也會出現在msconfig中。而且,在Windows98安裝完成後這兩項就會被Windows的程序使用了,也不很適合木馬使用。
三、通過注冊表啟動
1、通過HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run,
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run和
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
隱蔽性:3.5星
應用程度:極高
應用案例:BO2000,GOP,NetSpy,IEthief,冰河……
這是很多Windows程序都採用的方法,也是木馬最常用的。使用非常方便,但也容易被人發現,由于其應用太廣,所以幾乎提到木馬,就會讓人想到這幾個注冊表中的主鍵,通常木馬會使用最後一個。使用Windows自帶的程序:msconfig或注冊表編輯器(regedit.exe,以下簡稱regedit)都可以將它輕易的刪除,所以這種方法並不十分可靠。但可以在木馬程序中加一個時間控件,以便實時監視注冊表中自身的啟動鍵值是否存在,一旦發現被刪除,則立即重新寫入,以保證下次Windows啟動時自己能被運行。這樣木馬程序和注冊表中的啟動鍵值之間形成了一種互相保護的狀態。木馬程序未中止,啟動鍵值就無法刪除(手工刪除後,木馬程序又自動添加上了),相反的,不刪除啟動鍵值,下次啟動Windows還會啟動木馬。怎麼辦呢?其實破解它並不難,即使在沒有任何工具軟件的情況下也能輕易解除這種互相保護。
破解方法:首先,以安全模式啟動Windows,這時,Windows不會加載注冊表中的項目,因此木馬不會被啟動,相互保護的狀況也就不攻自破了;然後,你就可以刪除注冊表中的鍵值和相應的木馬程序了。
2、通過HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce,
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce和
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
隱蔽性:4星
應用程度:較低
應用案例:Happy99月
這種方法好像用的人不是很多,但隱蔽性比上一種方法好,它的內容不會出現在msconfig中。在這個鍵值下的項目和上一種相似,會在Windows啟動時啟動,但Windows啟動後,該鍵值下的項目會被清空,因而不易被發現,但是只能啟動一次,木馬如何能發揮效果呢?
|
|
|
|
|
 |
|
|
|
|
|
|
|
