電腦木馬病毒如何運行

時間：2017-03-16 10:57:18 林澤1002由分享

電腦木馬病毒如何運行

　　木馬病毒是隨計算機(jī)或Windo。的啟動而啟動并掌握一定的控制權(quán)的，有很多種啟動方式，通過注冊表啟動、通過System. ini啟動、通過某些特定程序啟動等，眼花繚亂，很難防范。下面是學(xué)習(xí)啦小編收集整理的電腦木馬病毒如何運行，希望對大家有幫助~~

　　電腦木馬病毒運行

　　工具/原料

　　通過注冊表啟動、通過System. ini啟動

　　步驟/方法

　　1通過開始程序啟動:這種方式最常見，就像一般的軟件設(shè)置開機(jī)啟動是一樣的，比方說，騰訊QQ就是用這種方式實現(xiàn)自啟動的。不過如今的木馬一般不會用這種方式了，因為出現(xiàn)在“開始”菜單的“啟動”中很容易被發(fā)現(xiàn)行蹤而被處理掉。

　　2通過注冊表啟動

　　通過注冊表啟動分為三種，各種的具體設(shè)置如下所示:

　　.通過HKEY _ CURRENT _ USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Hun ,

　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run和HKEY_

　　LOCAL-MACHINE \Software \ Microsoft \ W indows \CurrentVersion \ RunServiceso

　　常用木馬:BO2000, GOP, NetSpy, lEthief，冰河等。

　　通常木馬會用這種方式，設(shè)置簡單，不過也是會被發(fā)現(xiàn)的。正式因為使用的太多，所以一說到木馬，就會聯(lián)想到注冊表中的主鍵，通常木馬會使用最后一個，使用Windows自帶的程序msconfig或注冊表編輯器(regedit. exe)都可以將其輕而易舉地刪除，可見這也不是一種可靠的方法。但是，現(xiàn)在也有了改進(jìn)，我們可以在木馬程序中加一個時問控件，實時監(jiān)視注冊表中自身的啟動鍵值是否存在，一旦發(fā)現(xiàn)被刪除，則立即重新寫人，來保證下次Windows啟動時能被運行，這樣木馬程序和注冊表中的啟動鍵值之間就形成了一種互相保護(hù)的狀態(tài)。木馬程序未中止，啟動鍵值就無法刪除(手工刪除后木馬程序又自動添加上了)，相反的，不刪除啟動鍵值，下次啟動Windows還會啟動木馬。破解方法:首先，以安全模式啟動 Windows，此時Windows不會加載注冊表中的項Ei ,因此木馬不會被啟動，相互保護(hù)的狀況也就不攻自破了。然后，就可以刪除注冊表中的鍵值和相應(yīng)的木馬程序了。通過HKEY_LOCAL_MACHINE \Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce,HKEY_ CURRENT_ USER\Software\Microsoft\Windows \CurrentVersion \ RunOnce和HKEY_ LO-CAL_MACHINE\Software\ Microsoft \Windows \CurrentVersion \ RunServices Once,,

　　常用木馬:Happy99,,

　　這是一種很少使用的方法，可是隱蔽性很強，并且也不會在msconfig _r留下蹤跡。在這個鍵值下的項目和上一種相似，會在Windows啟動時啟動，但Windows啟動后，該鍵值下的項目會被清空，因而不易被發(fā)現(xiàn)，但是只能啟動一次。還有一種方法，不是在啟動的時候加而是在退出Windows的時候，這要求木馬程序本身要截獲Windows的消息，當(dāng)發(fā)現(xiàn)關(guān)閉Windows消息時，暫停關(guān)閉過程，添加注冊表項目，然后才開始關(guān)閉Windows，這樣用Regedit也找不到它的蹤跡了。這種方式也有一個不完美的地方，就是一旦Windows異常中止(對于Windows9x這是經(jīng)常的)，木馬也就失效了。

　　上面的三種方式各自有各自的特點，通常木馬會選擇第一個鍵值，因為在第二個鍵值下的項目會在Windows啟動完成前運行，并等待程序結(jié)束才會繼續(xù)啟動Windows

　　3通過autoexec. bat,winstart. bat或confg.sys文件:其實這種方法并不適合木馬使用，因為該文件會在Windows啟動前運行，這時系統(tǒng)處于DOS環(huán)境，只能運行16位應(yīng)用程序，Window，下的32位程序是不能運行的。木馬此時也就失效了，可是仍然要防范，因為木馬的偽裝就是要做到讓你無從下手

　　4通過System. ini文件:事實上，System. ini文件并沒有給用戶可用的啟動項目，然而通過它啟動卻是非常好用的。在System. ini文件的“Boot”域中的Shell項的值正常情況下是" explorer. exe"，這是Windows的外殼程序，換一個程序就可以徹底改變Windows的面貌(如改為progman. exe就可以讓W(xué)indows 9x變成Windows 3. x)。還可以在“explorer. exe”后加上木馬程序的路徑，這樣Windows啟動后木馬也就隨之啟動，而且即使是安全模式啟動也不會跳過這一項，這樣木馬也就可以保證永遠(yuǎn)隨Windows啟動了

　　5寄生于特定程序之中

　　即木馬和正常程序捆綁，有點類似于病毒，程序在運行時，木馬程序先獲得控制權(quán)或另開一個線程以監(jiān)視用戶操作、截取密碼等，這類木馬編寫的難度較大，需要了解PE文件結(jié)構(gòu)和Windows的底層知識

　　6將特定的程序改名

　　QQ是這類木馬最多的寄主，比方說，將QQ的啟動文件QQ2000b. exe改為QQ2000b.ico. exe，再將木馬程序改為QQ2000b. exe。這樣以后，一旦用戶運行“QT , QQ木馬也就運行了，然后才由QQ木馬去啟動真正的QQ

　　7文件關(guān)聯(lián):一般情況下木馬程序會將自己和TXT文件或EXE文件關(guān)聯(lián)，這樣當(dāng)打開

　　一個文本文件或運行一個程序時，木馬也就偷偷地啟動了

電腦木馬病毒如何運行相關(guān)文章：

1.木馬是怎么樣啟動的

2.電腦中了木馬后應(yīng)該怎么做以及解決方法

3.計算機(jī)木馬病毒危害介紹及解決方法是什么

4.如何打開不太安全的網(wǎng)址讓電腦不中毒

5.電腦中了病毒木馬該怎么辦