一、通過"開始\程式\啟動"
隱蔽性:2星
應用程度:較低
這也是一種很常見的方式,很多正常的程式都用它,大家常 用的qq就是用這種方式實現自啟動的,但木馬卻很少用它。因為 啟動組的每人會會出現在「系統配置實用程式」(msconfig.exe ,以下簡稱msconfig)中。事實上,出現在「開始」選單的「程 序\啟動」中足以引起菜鳥的注意,所以,相信不會有木馬用這種 啟動方式。
二、通過win.ini檔案
隱蔽性:3星
應用程度:較低
同啟動組一樣,這也是從windows3.2開始就可以使用的方法,是從win16遺傳到win32的。在windows3.2中,win.ini就相當於windows9x中的登錄檔,在該檔案中的[windows]域中的load和run項會在windows啟動時執行,這兩個專案也會出現在msconfig中。而且,在windows98安裝完成後這兩項就會被windows的程式使用了,也不很適合木馬使用。
三、通過登錄檔啟動
1、通過hkey_current_user\software\microsoft\windows\currentversion\run, hkey_local_machine\software\microsoft\windows\currentversion\run和 hkey_local_machine\software\microsoft\windows\currentversion\runservices
隱蔽性:3.5星
應用程度:極高
應用案例:bo2000,gop,netspy,iethief,冰河……
破解方法:首先,以安全模式啟動windows,這時,windows不會載入登錄檔中的專案,因此木馬不會被啟動,相互保護的狀況也就不攻自破了;然後,你就可以刪除登錄檔中的鍵值和相應的木馬程式了。
2、通過hkey_local_machine\software\microsoft\windows\currentversion\runonce, hkey_current_user\software\microsoft\windows\currentversion\runonce和 hkey_local_machine\software\microsoft\windows\currentversion\runservicesonce
隱蔽性:4星
應用程度:較低
這種方法好像用的人不是很多,但隱蔽性比上一種方法好,它的內容不會出現在msconfig中。在這個鍵值下的專案和上一種相似,會在windows啟動時啟動,但windows啟動後,該鍵值下的專案會被清空,因而不易被發現,但是只能啟動一次,木馬如何能發揮效果呢?
四、通過autoexec.bat檔案,或winstart.bat,config.sys檔案
隱蔽性:3.5星
應用程度:較低
其實這種方法並不適合木馬使用,因為該檔案會在windows啟動前執行,這時系統處於dos環境,只能執行16位應用程式,windows下的32位程式是不能執行的。因此也就失去了木馬的意義。不過,這並不是說它不能用於啟動木馬。可以想象,softice for win98(功能強大的程式除錯工具,被黑客奉為至寶,常用於破解應用程式)也是先要在autoexec.bat檔案中執行然後才能在windows中呼叫出視窗,進行除錯的,既然如此,誰能保證木馬不會這樣啟動呢?到目前為止,我還沒見過這樣啟動的木馬,我想能寫這樣木馬的人一定是高手中的高手了。
另外,這兩個bat檔案常被用於破壞,它們會在這個檔案中加入類似"deltree c:\*.*"和"format c:/u"的行,這樣,在你啟動計算機後還未啟動windows,你的c盤已然空空如也。
五、通過system.ini檔案
隱蔽性:5星
應用程度:一般
事實上,system.ini檔案並沒有給使用者可用的啟動專案,然而通過它啟動卻是非常好用的。在system.ini檔案的[boot]域中的shell項的值正常情況下是"explorer.exe",這是windows的外殼程式,換乙個程式就可以徹底改變windows的面貌(如改為progman.exe就可以讓win9x變成windows3.2)。我們可以在"explorer.exe"後加上木馬程式的路徑,這樣windows啟動後木馬也就隨之啟動,而且即使是安全模式啟動也不會跳過這一項,這樣木馬也就可以保證永遠隨windows啟動了,名噪一時的尼姆達病毒就是用的這種方法。這時,如果木馬程式也具有自動檢測新增shell項的功能的話,那簡直是天衣無縫的絕配,我想除了使用檢視程序的工具中止木馬,再修改shell項和刪除木馬檔案外是沒有破解之法了。但這種方式也有個先天的不足,因為只有shell這一項嘛,如果有兩個木馬都使用這種方式實現自啟動,那麼後來的木馬可能會使前乙個無法啟動,呵呵以毒攻毒啊。
六、通過某特定程式或檔案啟動
1、寄生於特定程式之中
隱蔽性:5星
應用程度:一般
即木馬和正常程式**,有點類似於病毒,程式在執行時,木馬程式先獲得控制權或另開乙個執行緒以監視使用者操作,擷取密碼等,這類木馬編寫的難度較大,需要了解pe檔案結構和windows的底層知識(直接使用**程式除外)。
2、將特定的程式改名
隱蔽性:5星
應用程度:常見
這種方式常見於針對qq的木馬,例如將qq的啟動檔案qq2000b.exe,改為qq2000b.ico.exe(windows預設是不顯示副檔名的,因此它會被顯示為qq2000b.ico,而使用者會認為它是乙個圖示),再將木馬程式改為qq2000b.exe,此後,使用者執行qq,實際是執行了qq木馬,再由qq木馬去啟動真正的qq,這種方式實現起來要比上一種簡單的多。
3、檔案關聯
隱蔽性:5星
應用程度:常見
通常木馬程式會將自己和txt檔案或exe檔案關聯,這樣當你開啟乙個文字檔案或執行乙個程式時,木馬也就神不知鬼不覺的啟動了。
這類通過特定程式或檔案啟動的木馬,發現比較困難,但查殺並不難。一般地,只要刪除相應的檔案和登錄檔鍵值即可。
funny exe 木馬病毒的手動刪除方式
刪除方法 以系統目錄為c winnt為例 0 先copy c winnt system32 userinit.exe c winnt system32 userinit32.exe 進行檔案覆蓋。這一步開始沒有試過,但做一下沒壞處 1 必須啟動到安全模式下,最好是命令列下,但這時病毒可能仍然已經啟動...
Http的六種請求方式
http的六種請求方式 1 get 2 post 3 put 4 delete 5 head 6 options 日記 匯入的import urllib,urllib2改為import urllib.request 中所有urllib2改為urllib.request 但執行依然失敗 請教了老大以後...
hibernate的六種查詢方式
hibernate的總結性隨筆,從點到面,講講hibernate查詢的6種方法。分別是hql查詢 物件化查詢criteria方法,動態查詢detachedcriteria,例子查詢,sql查詢,命名查詢。如果單純的使用hibernate查詢資料庫只需要懂其中的一項就可以完成想要實現的一般功能,但是 ...