诚毅小家|集美大学生活【集美大学,诚毅学院,水产学院,师范学院,美术学院,财经学院,体育学院,航海学院,集美学村,石鼓路,龙舟池】

 找回密码
 注册

QQ登录

只需一步,快速开始

搜索
热搜: 活动 交友 discuz
查看: 842|回复: 3

知马识马不养马(一)

[复制链接]
发表于 2007-12-1 22:19:34 | 显示全部楼层 |阅读模式
知马识马不养马(一)
/ k1 \3 f* @+ d6 i4 n2 m7 @; r
5 `: a' \4 ^9 j5 l8 H3 J为了保护自己,木马会想尽办法来隐藏自己。以往,木马通常会通过“开始”菜单的“启动”项或注册表的HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun项和HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun项来启动自己,也有的木马会注册为系统的“服务”程序,而那些老旧的方法,比如在Autoexec.bat、Config.sys、Winstart.bat、Win.ini、System.ini、Wininit.ini等文件中加载木马程序,大家更是耳熟能详。 8 ]/ W. _1 U0 F& f- u
不过,随着木马技术的发展,木马的隐藏方法已经变得越来越高明了。所谓“知己知彼,百战不殆”,要想防“马”,当然要先“知”马。下面,笔者就为您介绍一些鲜为人知的木马隐藏方法。
( A5 j9 G% \) F6 P
* ^0 t: q7 J  m- t& S+ d“组策略”中的木马
* f( Z- {( `5 f, m" [7 K2 I1 l: i
通过“组策略”来加载木马这种方式非常隐蔽,不易为人发现。具体方法是:
$ D9 K4 a. n3 F8 T! \' l5 ^点击“开始”菜单中的“运行”,输入Gpedit.msc,打开“组策略”。在“本地计算机策略”中顺次点击“用户配置”→“管理模板”→“系统”→“登录”,然后双击“在用户登录时运行这些程序”子项,出现对话框. ! J7 Y9 V% N- o6 u
在这里进行属性设置,选定“设置”中的“已启用”,单击“显示”按钮,会弹出“显示内容”窗口。单击“添加”按钮,出现“添加项目”窗口,在其中的文本框中输入要自动运行的文件所在的路径,单击“确定”按钮后重新启动计算机,系统便会在登录时自动运行所添加的程序。
& H( `4 N9 j' ]( f" f& k提示:如果自启动的文件不是位于%Systemroot%目录中,则必须指定文件的完整、有效路径。
+ v! K9 }& E+ P: g0 d' q/ `: Y! I7 Y$ _6 A
如果我们刚才在“组策略”中添加的是木马,就会出现一个“隐形”的木马。在“系统配置实用程序”Msconfig中,我们是无法发现该木马的,因为在注册表项中,如HKEY_ CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion Run项和HKEY_LOCAL_MACHINESoftwareMicrosoft WindowsCurrentVersionRun项,根本找不到相应的键值。所以说,这种加载木马的方式是非常隐蔽的,对普通用户的危胁也非常大。 ( D- T$ C% O8 C# h5 a# `/ I
实际上,通过这种方式添加的自启动程序依然会被记录在注册表中,只不过不是在我们所熟悉的那些注册表项下,而是在注册表的HKEY_CURRENT_USERSoftware Microsoft WindowsCurrentVersionPoliciesExplorerRun项中加载。所以,如果您怀疑自己的电脑中有木马,却找不到它躲在哪儿,可以到上述的注册表项中去看一看,或者到“组策略”的“用户配置→管理模板→系统→登录”下的“在用户登录时运行这些程序”中查看一下,也许会有所发现。   _0 f/ n4 Y2 o6 q+ ]6 u1 f& b

, ?  c( p0 u. \; w* s8 h% s, c0 N( b
暗藏杀机的注册表项
! y' F+ ^6 [0 N- P7 a3 i) d6 V9 k/ z! t$ d) |0 Z" r9 D) J& k6 t
利用注册表项加载木马一直是木马的最爱,也是我们所熟知的一种手段,不过,有一种新的利用注册表来隐藏木马的方法您可能还不知道。具体方法是: . V6 W2 }! k; T
点击“开始”菜单中的“运行”,输入Regedit,打开注册表编辑器。展开注册表到HKEY_CURRENT_USERSoftware MicrosoftWindows NTCurrentVersionWindows项,新建一个字符串值,命名为“load”,把它的键值改为要自启动程序的路径即可。 ( m8 F8 U+ d) O9 ^  N! Y
: S+ G2 h5 t* _# ^) e: U2 a2 `
提示:要使用文件的短文件名,即“C:Program Files”应该写为“C:Progra~1”,且自启动程序的后面不能带有任何参数。如果改在注册表HKEY_USERS用户ID号Software MicrosoftWindows NTCurrentVersionWindows项加载,则本方法对其他用户也有效,否则换个用户名登录就不管用了。
: _# Y4 t* g# [  q) N
0 t2 O( D9 R! `* _! l) r用这种方法加载木马,在Windows优化大师的“开机速度优化”选项中将无法看到有木马程序被加载,如果被有心人利用在这里加载恶意程序或木马,对大家的威胁将很大。
3 f8 C- @- F9 O建议大家以后检查木马及病毒程序时特别注意这部分,不给别人可乘之机。另外,这个方法只对Windows 2000/XP/2003有效,使用Windows 9x的用户不用担心。 , D7 [8 A* a; l" S3 l3 m8 D
" g& o+ V1 x: V, m3 k
利用AutoRun.inf加载木马 2 \  S: s* @4 ^7 D5 j

7 \) I3 g) e  j3 f, K4 D经常使用光盘的朋友都知道,某些光盘放入光驱后会自动运行,这种功能的实现主要靠两个文件,一个是系统文件之一的Cdvsd.vxd,一是光盘上的AutoRun.inf文件。Cdvsd.vxd会随时侦测光驱中是否有放入光盘的动作,如果有,便寻找光盘根目录下的AutoRun.inf文件。如果存在,就执行里面的预设程序。 ) A' K* Q0 p9 G) V6 q  p$ O8 z
0 _, o8 e1 V8 I
不过,AutoRun不仅能应用于光盘中,同样也可以应用于硬盘中(要注意的是,AutoRun.inf必须存放在磁盘根目录下才能起作用)。让我们一起看看AutoRun.inf文件的内容吧。
0 \0 K8 ]6 _8 A5 Z$ F! D5 N打开记事本,新建一个文件,将其命名为AutoRun.inf,在AutoRun.inf中键入以下内容: # z9 ]1 V2 h( \5 k* \. @
[AutoRun]
+ O; r7 n4 b& u5 ^/ N' C7 A8 AIcon=C:WindowsSystemShell32.DLL,21
3 s! o, N# ?7 ~5 O4 Y4 E7 {Open=C:Program FilesACDSeeACDSee.exe
: ]2 C: t8 B* P& x. G) x其中,“[AutoRun]”是必须的固定格式,一个标准的AutoRun文件必须以它开头,目的是告诉系统执行它下面几行的命令;第二行“Icon=C:WindowsSystemShell32.DLL,21”是给硬盘或光盘设定一个个性化的图标,“Shell32.DLL”是包含很多Windows图标的系统文件,“21”表示显示编号为21的图标,无数字则默认采用文件中的第一个图标;第三行“Open=C:Program FilesACDSeeACDSee.exe”指出要运行程序的路径及其文件名。 - e+ \; J0 _1 L: ?3 ~
如果把Open行换为木马文件,并将这个AutoRun.inf文件设置为隐藏属性,我们点击硬盘时就会启动木马。
0 P- V6 q6 k9 d1 e1 O- A
5 L2 O/ b% i2 O, R为防止遭到这样的“埋伏”,可以禁止硬盘AutoRun功能。在“开始”菜单的“运行”中输入Regedit,打开注册表编辑器,展开到HKEY_CURRENT_USERSoftware MicrosoftWindowsCurrentVersionPoliciesExploer主键下,在右侧窗口中找到“NoDriveTypeAutoRun”,就是它决定了是否执行CDROM或硬盘的AutoRun功能。将其键值改为9D,00,00,00就可以关闭硬盘的AutoRun功能,如果改为B5,00,00,00则禁止光盘的AutoRun功能。修改后重新启动计算机,设置就会生效。
8 [& h6 ?+ C5 C2 o) J3 F# D$ S. i. w) z  j- X' u
屏幕保护也可能成为木马的帮凶
: ?& n. w, L4 j5 D' r+ h& ^+ G& h& v6 d) D  Q3 \  _$ U
Windows的屏幕保护程序对应的是.scr文件,它是PE格式的可执行文件,在默认情况下保存在Windows的安装目录下。如果把.scr更名为.exe文件,该程序仍然可以正常启动,.exe文件更名为.scr文件也照样可以运行。顺便提一下,把.exe文件改名为.com、.pif、.bat后,exe文件仍旧可以自由运行。这在exe文件关联丢失后非常有用。 ( H: l. I4 \: M( x/ P/ U
在屏幕保护程序中,我们可以设定它的等待时间,这个启动时间其实是可以在注册表中设定的。在注册表项 HKEY_USERS.DEFAULTControl Paneldesktop下面的字符串值ScreenSaveTimeOut记录的就是屏保程序的等待时间,时间单位为秒,从60秒开始记录,如果记录时间小于60秒,则自动定为1分钟。 8 O  K% b# _: Y9 `4 ^6 a. _
提示:是否选择了屏幕保护程序可以在system.ini文件中看出来。在“开始”菜单的“运行”中输入msconfig,找到System标签,找到里面的[boot]小节,可以看到有“SCRNSAVE.EXE=”这一行。在它后面是屏保文件的路径。如果您设定了屏保程序,这一行前面就会有一个“√”,反之则没有“√”。
7 p  R5 i! |4 G7 j% S  Z由上面的介绍可以产生一种联想:如果把.exe文件重命名为.scr文件(假设改为trojan.scr),并在System.ini中添加“SCANSAVE.EXE=C:Program files rojan.scr”,然后修改注册表中的HKEY_USERS.DEFAULTControl Paneldesktop下的字符串值ScreenSaveTimeOut,把其键值改为60,则系统只要闲置一分钟该文件就会被启动。
' G( |  z* O: @* y* _防范这种攻击的方法就是禁止使用屏幕保护功能。要想一次性取消屏幕保护功能,可以通过修改注册表来实现。打开注册表编辑器,找到HKEY_CURRENT_USER ControlPaneldesktopScreenSaveActive子键,将“ScreenSaveActive”改为“0”,就可以禁止使用屏幕保护功能。
4 ?: V0 H# g4 r$ G- m) `$ Z, w
- v3 v) O8 Q4 N! ?( ?9 m

/ ?# C$ d5 u" ?6 ?0 x( R9 Z' h$ l: f  d8 ^( z$ ~) ]" l

4 O  R& c* \6 C4 y9 A* f7 [/ G4 t  C' {$ b" j6 v
4 N0 l3 \! ~% M- A: R
转自爱好者论坛:http://bbs.cfan.com.cn
( W1 J" I% g' m1 h
( T% {7 s6 \& b" f# W2 O; Q/ Z
. L" Y7 Q! [3 N3 @3 g+ G
[ 本帖最后由 风伊翼 于 2007-12-2 21:08 编辑 ]
发表于 2007-12-1 22:55:13 | 显示全部楼层
最近养了很多马。。。系统时间一直被改--真是郁闷啊
发表于 2007-12-2 21:10:06 | 显示全部楼层
发表于 2007-12-7 00:21:15 | 显示全部楼层
:L :L :L :L
您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|Archiver|手机版|小黑屋|诚毅小家 ( 小家社区工作室 闽ICP备05007965号 )

GMT+8, 2024-12-29 17:32 , Processed in 0.054094 second(s), 24 queries .

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表