木馬攻略:關(guān)于木馬的幾種啟動(dòng)方式

字號(hào):

木馬是隨計(jì)算機(jī)或Windows的啟動(dòng)而啟動(dòng)并掌握一定的控制權(quán)的,其啟動(dòng)方式可謂多種多樣,通過(guò)注冊(cè)表啟動(dòng)、通過(guò)System.ini啟動(dòng)、通過(guò)某些特定程序啟動(dòng)等,真是防不勝防。其實(shí)只要能夠遏制住不讓它啟動(dòng),木馬就沒(méi)什么用了,這里就簡(jiǎn)單說(shuō)說(shuō)木馬的啟動(dòng)方式,知己知彼百戰(zhàn)不殆嘛。
    一、通過(guò)"開(kāi)始\程序\啟動(dòng)"
    隱蔽性:2星
    應(yīng)用程度:較低
    這也是一種很常見(jiàn)的方式,很多正常的程序都用它,大家常用的QQ就是用這種方式實(shí)現(xiàn)自啟動(dòng)的,但木馬卻很少用它。因?yàn)閱?dòng)組的每人會(huì)會(huì)出現(xiàn)在“系統(tǒng)配置實(shí)用程序”(msconfig.exe,以下簡(jiǎn)稱(chēng)msconfig)中。事實(shí)上,出現(xiàn)在“開(kāi)始”菜單的“程序\啟動(dòng)”中足以引起菜鳥(niǎo)的注意,所以,相信不會(huì)有木馬用這種啟動(dòng)方式。
    二、通過(guò)Win.ini文件
    隱蔽性:3星
    應(yīng)用程度:較低
    應(yīng)用案例:Asylum
    同啟動(dòng)組一樣,這也是從Windows3.2開(kāi)始就可以使用的方法,是從Win16遺傳到Win32的。在Windows3.2中,Win.ini就相當(dāng)于Windows9x中的注冊(cè)表,在該文件中的[Windows]域中的load和run項(xiàng)會(huì)在Windows啟動(dòng)時(shí)運(yùn)行,這兩個(gè)項(xiàng)目也會(huì)出現(xiàn)在msconfig中。而且,在Windows98安裝完成后這兩項(xiàng)就會(huì)被Windows的程序使用了,也不很適合木馬使用。
    三、通過(guò)注冊(cè)表啟動(dòng)
    1、通過(guò)HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run,
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run和
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
    隱蔽性:3.5星
    應(yīng)用程度:極高
    應(yīng)用案例:BO2000,GOP,NetSpy,IEthief,冰河……
    這是很多Windows程序都采用的方法,也是木馬最常用的。使用非常方便,但也容易被人發(fā)現(xiàn),由于其應(yīng)用太廣,所以幾乎提到木馬,就會(huì)讓人想到這幾個(gè)注冊(cè)表中的主鍵,通常木馬會(huì)使用最后一個(gè)。使用Windows自帶的程序:msconfig或注冊(cè)表編輯器(regedit.exe,以下簡(jiǎn)稱(chēng)regedit)都可以將它輕易的刪除,所以這種方法并不十分可靠。但可以在木馬程序中加一個(gè)時(shí)間控件,以便實(shí)時(shí)監(jiān)視注冊(cè)表中自身的啟動(dòng)鍵值是否存在,一旦發(fā)現(xiàn)被刪除,則立即重新寫(xiě)入,以保證下次Windows啟動(dòng)時(shí)自己能被運(yùn)行。這樣木馬程序和注冊(cè)表中的啟動(dòng)鍵值之間形成了一種互相保護(hù)的狀態(tài)。木馬程序未中止,啟動(dòng)鍵值就無(wú)法刪除(手工刪除后,木馬程序又自動(dòng)添加上了),相反的,不刪除啟動(dòng)鍵值,下次啟動(dòng)Windows還會(huì)啟動(dòng)木馬。怎么辦呢?其實(shí)*它并不難,即使在沒(méi)有任何工具軟件的情況下也能輕易解除這種互相保護(hù)。
    *方法:首先,以安全模式啟動(dòng)Windows,這時(shí),Windows不會(huì)加載注冊(cè)表中的項(xiàng)目,因此木馬不會(huì)被啟動(dòng),相互保護(hù)的狀況也就不攻自破了;然后,你就可以刪除注冊(cè)表中的鍵值和相應(yīng)的木馬程序了。
    2、通過(guò)HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce,
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce和
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
    隱蔽性:4星
    應(yīng)用程度:較低
    應(yīng)用案例:Happy99
    這種方法好像用的人不是很多,但隱蔽性比上一種方法好,它的內(nèi)容不會(huì)出現(xiàn)在msconfig中。在這個(gè)鍵值下的項(xiàng)目和上一種相似,會(huì)在Windows啟動(dòng)時(shí)啟動(dòng),但Windows啟動(dòng)后,該鍵值下的項(xiàng)目會(huì)被清空,因而不易被發(fā)現(xiàn),但是只能啟動(dòng)一次,木馬如何能發(fā)揮效果呢?
    其實(shí)很簡(jiǎn)單,不是只能啟動(dòng)一次嗎?那木馬啟動(dòng)成功后再在這里添加一次不就行了嗎?在Delphi中這不過(guò)3、5行程序。雖說(shuō)這些項(xiàng)目不會(huì)出現(xiàn)在msconfig中,但是在Regedit中卻可以直接將它刪除,那么木馬也就從此失效了。
    還有一種方法,不是在啟動(dòng)的時(shí)候加而是在退出Windows的時(shí)候加,這要求木馬程序本身要截獲WIndows的消息,當(dāng)發(fā)現(xiàn)關(guān)閉Windows消息時(shí),暫停關(guān)閉過(guò)程,添加注冊(cè)表項(xiàng)目,然后才開(kāi)始關(guān)閉Windows,這樣用Regedit也找不到它的蹤跡了。這種方法也有個(gè)缺點(diǎn),就是一旦Windows異常中止(對(duì)于Windows9x這是經(jīng)常的),木馬也就失效了。
    *他們的方法也可以用安全模式。
    另外使用這三個(gè)鍵值并不完全一樣,通常木馬會(huì)選擇第一個(gè),因?yàn)樵诘诙€(gè)鍵值下的項(xiàng)目會(huì)在Windows啟動(dòng)完成前運(yùn)行,并等待程序結(jié)束會(huì)才繼續(xù)啟動(dòng)Windows。