關(guān)于木馬病毒的六種啟動(dòng)方式

1、 關(guān)于木馬病毒的六種啟動(dòng)方式木馬是隨計(jì)算機(jī)或Windows的啟動(dòng)而啟動(dòng)并掌握一定的控制權(quán)的，其啟動(dòng)方式可謂多種多樣，通過(guò)注冊(cè)表啟動(dòng)、通過(guò)System.ini啟動(dòng)、通過(guò)某些特定程序啟動(dòng)等，真是防不勝防。其實(shí)只要能夠遏制住不讓它啟動(dòng)，木馬就沒(méi)什么用了，這里就簡(jiǎn)單說(shuō)說(shuō)木馬的啟動(dòng)方式，知己知彼百戰(zhàn)不殆嘛。一、通過(guò)開(kāi)始程序啟動(dòng)隱蔽性:2星應(yīng)用程度:較低這也是一種很常見(jiàn)的方式，很多正常的程序都用它，大家常用的就是用這種方式實(shí)現(xiàn)自啟動(dòng)的，但木馬卻很少用它。因?yàn)閱?dòng)組的每人會(huì)會(huì)出現(xiàn)在“系統(tǒng)配置實(shí)用程序”(msconfig.exe，以下簡(jiǎn)稱msconfig)中。事實(shí)上，出現(xiàn)在“開(kāi)始”菜單的“程序啟動(dòng)”中足以引起

2、菜鳥(niǎo)的注意，所以，相信不會(huì)有木馬用這種啟動(dòng)方式。二、通過(guò)Win.ini文件隱蔽性:3星應(yīng)用程度:較低同啟動(dòng)組一樣，這也是從Windows3.2開(kāi)始就可以使用的方法，是從Win16遺傳到Win32的。在Windows3.2中，Win.ini就相當(dāng)于Windows9x中的注冊(cè)表，在該文件中的Windows域中的load和run項(xiàng)會(huì)在Windows啟動(dòng)時(shí)運(yùn)行，這兩個(gè)項(xiàng)目也會(huì)出現(xiàn)在msconfig中。而且，在Windows98安裝完成后這兩項(xiàng)就會(huì)被Windows的程序使用了，也不很適合木馬使用。三、通過(guò)注冊(cè)表啟動(dòng)1、通過(guò)HKEY_CURRENT_USERSoftwareMicrosoftWindows

3、CurrentVersionRun，HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun和HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices隱蔽性:3.5星應(yīng)用程度:極高應(yīng)用案例:BO2000，GOP，NetSpy，IEthief，冰河這是很多Windows程序都采用的方法，也是木馬最常用的。使用非常方便，但也容易被人發(fā)現(xiàn)，由于其應(yīng)用太廣，所以幾乎提到木馬，就會(huì)讓人想到這幾個(gè)注冊(cè)表中的主鍵，通常木馬會(huì)使用最后一個(gè)。使用Windows自帶的程序:m

4、sconfig或注冊(cè)表編輯器(regedit.exe，以下簡(jiǎn)稱regedit)都可以將它輕易的刪除，所以這種方法并不十分可靠。但可以在木馬程序中加一個(gè)時(shí)間控件，以便實(shí)時(shí)監(jiān)視注冊(cè)表中自身的啟動(dòng)鍵值是否存在，一旦發(fā)現(xiàn)被刪除，則立即重新寫(xiě)入，以保證下次Windows啟動(dòng)時(shí)自己能被運(yùn)行。這樣木馬程序和注冊(cè)表中的啟動(dòng)鍵值之間形成了一種互相保護(hù)的狀態(tài)。木馬程序未中止，啟動(dòng)鍵值就無(wú)法刪除(手工刪除后，木馬程序又自動(dòng)添加上了)，相反的，不刪除啟動(dòng)鍵值，下次啟動(dòng)Windows還會(huì)啟動(dòng)木馬。怎么辦呢?其實(shí)破解它并不難，即使在沒(méi)有任何工具軟件的情況下也能輕易解除這種互相保護(hù)。破解方法:首先，以安全模式啟動(dòng)Windo

5、ws，這時(shí)，Windows不會(huì)加載注冊(cè)表中的項(xiàng)目，因此木馬不會(huì)被啟動(dòng)，相互保護(hù)的狀況也就不攻自破了;然后，你就可以刪除注冊(cè)表中的鍵值和相應(yīng)的木馬程序了。2、通過(guò)HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce，HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce和HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesOnce隱蔽性:4星應(yīng)用程度:較低應(yīng)用案例:Happ

6、y99月這種方法好像用的人不是很多，但隱蔽性比上一種方法好，它的內(nèi)容不會(huì)出現(xiàn)在msconfig中。在這個(gè)鍵值下的項(xiàng)目和上一種相似，會(huì)在Windows啟動(dòng)時(shí)啟動(dòng)，但Windows啟動(dòng)后，該鍵值下的項(xiàng)目會(huì)被清空，因而不易被發(fā)現(xiàn)，但是只能啟動(dòng)一次，木馬如何能發(fā)揮效果呢?其實(shí)很簡(jiǎn)單，不是只能啟動(dòng)一次嗎?那木馬啟動(dòng)成功后再在這里添加一次不就行了嗎?在Delphi中這不過(guò)3、5行程序。雖說(shuō)這些項(xiàng)目不會(huì)出現(xiàn)在msconfig中，但是在Regedit中卻可以直接將它刪除，那么木馬也就從此失效了。還有一種方法，不是在啟動(dòng)的時(shí)候加而是在退出Windows的時(shí)候加，這要求木馬程序本身要截獲WIndows的消息，當(dāng)發(fā)

7、現(xiàn)關(guān)閉Windows消息時(shí)，暫停關(guān)閉過(guò)程，添加注冊(cè)表項(xiàng)目，然后才開(kāi)始關(guān)閉Windows，這樣用Regedit也找不到它的蹤跡了。這種方法也有個(gè)缺點(diǎn)，就是一旦Windows異常中止(對(duì)于Windows9x這是經(jīng)常的)，木馬也就失效了。破解他們的方法也可以用安全模式。另外使用這三個(gè)鍵值并不完全一樣，通常木馬會(huì)選擇第一個(gè)，因?yàn)樵诘诙€(gè)鍵值下的項(xiàng)目會(huì)在Windows啟動(dòng)完成前運(yùn)行，并等待程序結(jié)束會(huì)才繼續(xù)啟動(dòng)Windows。四、通過(guò)Autoexec.bat文件，或winstart.bat，config.sys文件隱蔽性:3.5星應(yīng)用程度:較低其實(shí)這種方法并不適合木馬使用，因?yàn)樵撐募?huì)在Windows啟動(dòng)

8、前運(yùn)行，這時(shí)系統(tǒng)處于DOS環(huán)境，只能運(yùn)行16位應(yīng)用程序，Windows下的32位程序是不能運(yùn)行的。因此也就失去了木馬的意義。不過(guò)，這并不是說(shuō)它不能用于啟動(dòng)木馬。可以想象，SoftIce for Win98(功能強(qiáng)大的程序調(diào)試工具，被黑客奉為至寶，常用于破解應(yīng)用程序)也是先要在Autoexec.bat文件中運(yùn)行然后才能在Windows中呼叫出窗口，進(jìn)行調(diào)試的，既然如此，誰(shuí)能保證木馬不會(huì)這樣啟動(dòng)呢?到目前為止，我還沒(méi)見(jiàn)過(guò)這樣啟動(dòng)的木馬，我想能寫(xiě)這樣木馬的人一定是高手中的高手了。另外，這兩個(gè)BAT文件常被用于破壞，它們會(huì)在這個(gè)文件中加入類似Deltree C:*.*和Format C:/u的行，這樣

9、，在你啟動(dòng)計(jì)算機(jī)后還未啟動(dòng)Windows，你的C盤已然空空如也。五、通過(guò)System.ini文件隱蔽性:5星應(yīng)用程度:一般事實(shí)上，System.ini文件并沒(méi)有給用戶可用的啟動(dòng)項(xiàng)目，然而通過(guò)它啟動(dòng)卻是非常好用的。在System.ini文件的Boot域中的Shell項(xiàng)的值正常情況下是Explorer.exe，這是Windows的外殼程序，換一個(gè)程序就可以徹底改變Windows的面貌(如改為Progman.exe就可以讓W(xué)in9x變成Windows3.2)。我們可以在Explorer.exe后加上木馬程序的路徑，這樣Windows啟動(dòng)后木馬也就隨之啟動(dòng)，而且即使是安全模式啟動(dòng)也不會(huì)跳過(guò)這一項(xiàng)，這樣

10、木馬也就可以保證永遠(yuǎn)隨Windows啟動(dòng)了，名噪一時(shí)的尼姆達(dá)病毒就是用的這種方法。這時(shí)，如果木馬程序也具有自動(dòng)檢測(cè)添加Shell項(xiàng)的功能的話，那簡(jiǎn)直是天衣無(wú)縫的絕配，我想除了使用查看進(jìn)程的工具中止木馬，再修改Shell項(xiàng)和刪除木馬文件外是沒(méi)有破解之法了。但這種方式也有個(gè)先天的不足，因?yàn)橹挥蠸hell這一項(xiàng)嘛，如果有兩個(gè)木馬都使用這種方式實(shí)現(xiàn)自啟動(dòng)，那么后來(lái)的木馬可能會(huì)使前一個(gè)無(wú)法啟動(dòng)，呵呵以毒攻毒啊。六、通過(guò)某特定程序或文件啟動(dòng)1、寄生于特定程序之中隱蔽性:5星應(yīng)用程度:一般即木馬和正常程序捆綁，有點(diǎn)類似于病毒，程序在運(yùn)行時(shí)，木馬程序先獲得控制權(quán)或另開(kāi)一個(gè)線程以監(jiān)視用戶操作，截取密碼等，這類木馬編寫(xiě)的難度較大，需要了解PE文件結(jié)構(gòu)和Windows的底層知識(shí)(直接使用捆綁程序除外)。2、將特定的程序改名隱蔽性:5星應(yīng)用程度:常見(jiàn)這種方式常見(jiàn)于針對(duì)的木馬，例如將的啟動(dòng)文件2000b.exe，改為2000b.ico.exe(Windows默認(rèn)是不顯示擴(kuò)展名的，因此它會(huì)被顯示為2000b.ico，而用戶會(huì)認(rèn)為它是一個(gè)圖標(biāo)),再將木馬程序改為2000b.exe，此后，用戶運(yùn)行，實(shí)際是