電腦木馬病毒如何運行
電腦木馬病毒如何運行
木馬病毒是隨計算機或Windo。的啟動而啟動并掌握一定的控制權(quán)的,有很多種啟動方式,通過注冊表啟動、通過System. ini啟動、通過某些特定程序啟動等,眼花繚亂,很難防范。下面是學習啦小編收集整理的電腦木馬病毒如何運行,希望對大家有幫助~~
電腦木馬病毒運行
工具/原料
通過注冊表啟動、通過System. ini啟動
步驟/方法
1通過開始程序啟動:這種方式最常見,就像一般的軟件設置開機啟動是一樣的,比方說,騰訊QQ就是用這種方式實現(xiàn)自啟動的。不過如今的木馬一般不會用這種方式了,因為出現(xiàn)在“開始”菜單的“啟動”中很容易被發(fā)現(xiàn)行蹤而被處理掉。
2通過注冊表啟動
通過注冊表啟動分為三種,各種的具體設置如下所示:
.通過HKEY _ CURRENT _ USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Hun ,
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run和HKEY_
LOCAL-MACHINE \Software \ Microsoft \ W indows \CurrentVersion \ RunServiceso
常用木馬:BO2000, GOP, NetSpy, lEthief,冰河等。
通常木馬會用這種方式,設置簡單,不過也是會被發(fā)現(xiàn)的。正式因為使用的太多,所以一說到木馬,就會聯(lián)想到注冊表中的主鍵,通常木馬會使用最后一個,使用Windows自帶的程序msconfig或注冊表編輯器(regedit. exe)都可以將其輕而易舉地刪除,可見這也不是一種可靠的方法。但是,現(xiàn)在也有了改進,我們可以在木馬程序中加一個時問控件,實時監(jiān)視注冊表中自身的啟動鍵值是否存在,一旦發(fā)現(xiàn)被刪除,則立即重新寫人,來保證下次Windows啟動時能被運行,這樣木馬程序和注冊表中的啟動鍵值之間就形成了一種互相保護的狀態(tài)。木馬程序未中止,啟動鍵值就無法刪除(手工刪除后木馬程序又自動添加上了),相反的,不刪除啟動鍵值,下次啟動Windows還會啟動木馬。破解方法:首先,以安全模式啟動 Windows,此時Windows不會加載注冊表中的項Ei ,因此木馬不會被啟動,相互保護的狀況也就不攻自破了。然后,就可以刪除注冊表中的鍵值和相應的木馬程序了。通過HKEY_LOCAL_MACHINE \Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce,HKEY_ CURRENT_ USER\Software\Microsoft\Windows \CurrentVersion \ RunOnce和HKEY_ LO-CAL_MACHINE\Software\ Microsoft \Windows \CurrentVersion \ RunServices Once,,
常用木馬:Happy99,,
這是一種很少使用的方法,可是隱蔽性很強,并且也不會在msconfig _r留下蹤跡。在這個鍵值下的項目和上一種相似,會在Windows啟動時啟動,但Windows啟動后,該鍵值下的項目會被清空,因而不易被發(fā)現(xiàn),但是只能啟動一次。還有一種方法,不是在啟動的時候加而是在退出Windows的時候,這要求木馬程序本身要截獲Windows的消息,當發(fā)現(xiàn)關閉Windows消息時,暫停關閉過程,添加注冊表項目,然后才開始關閉Windows,這樣用Regedit也找不到它的蹤跡了。這種方式也有一個不完美的地方,就是一旦Windows異常中止(對于Windows9x這是經(jīng)常的),木馬也就失效了。
上面的三種方式各自有各自的特點,通常木馬會選擇第一個鍵值,因為在第二個鍵值下的項目會在Windows啟動完成前運行,并等待程序結(jié)束才會繼續(xù)啟動Windows
3通過autoexec. bat,winstart. bat或confg.sys文件:其實這種方法并不適合木馬使用,因為該文件會在Windows啟動前運行,這時系統(tǒng)處于DOS環(huán)境,只能運行16位應用程序,Window,下的32位程序是不能運行的。木馬此時也就失效了,可是仍然要防范,因為木馬的偽裝就是要做到讓你無從下手
4通過System. ini文件:事實上,System. ini文件并沒有給用戶可用的啟動項目,然而通過它啟動卻是非常好用的。在System. ini文件的“Boot”域中的Shell項的值正常情況下是" explorer. exe",這是Windows的外殼程序,換一個程序就可以徹底改變Windows的面貌(如改為progman. exe就可以讓Windows 9x變成Windows 3. x)。還可以在“explorer. exe”后加上木馬程序的路徑,這樣Windows啟動后木馬也就隨之啟動,而且即使是安全模式啟動也不會跳過這一項,這樣木馬也就可以保證永遠隨Windows啟動了
5寄生于特定程序之中
即木馬和正常程序捆綁,有點類似于病毒,程序在運行時,木馬程序先獲得控制權(quán)或另開一個線程以監(jiān)視用戶操作、截取密碼等,這類木馬編寫的難度較大,需要了解PE文件結(jié)構(gòu)和Windows的底層知識
6將特定的程序改名
QQ是這類木馬最多的寄主,比方說,將QQ的啟動文件QQ2000b. exe改為QQ2000b.ico. exe,再將木馬程序改為QQ2000b. exe。這樣以后,一旦用戶運行“QT , QQ木馬也就運行了,然后才由QQ木馬去啟動真正的QQ
7文件關聯(lián):一般情況下木馬程序會將自己和TXT文件或EXE文件關聯(lián),這樣當打開
一個文本文件或運行一個程序時,木馬也就偷偷地啟動了
電腦木馬病毒如何運行相關文章: