電腦木馬病毒如何運行
電腦木馬病毒如何運行
木馬病毒是隨計算機(jī)或Windo。的啟動而啟動并掌握一定的控制權(quán)的,有很多種啟動方式,通過注冊表啟動、通過System. ini啟動、通過某些特定程序啟動等,眼花繚亂,很難防范。下面是學(xué)習(xí)啦小編收集整理的電腦木馬病毒如何運行,希望對大家有幫助~~
電腦木馬病毒運行
工具/原料
通過注冊表啟動、通過System. ini啟動
步驟/方法
1通過開始程序啟動:這種方式最常見,就像一般的軟件設(shè)置開機(jī)啟動是一樣的,比方說,騰訊QQ就是用這種方式實現(xiàn)自啟動的。不過如今的木馬一般不會用這種方式了,因為出現(xiàn)在“開始”菜單的“啟動”中很容易被發(fā)現(xiàn)行蹤而被處理掉。
2通過注冊表啟動
通過注冊表啟動分為三種,各種的具體設(shè)置如下所示:
.通過HKEY _ CURRENT _ USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Hun ,
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run和HKEY_
LOCAL-MACHINE \Software \ Microsoft \ W indows \CurrentVersion \ RunServiceso
常用木馬:BO2000, GOP, NetSpy, lEthief,冰河等。
通常木馬會用這種方式,設(shè)置簡單,不過也是會被發(fā)現(xiàn)的。正式因為使用的太多,所以一說到木馬,就會聯(lián)想到注冊表中的主鍵,通常木馬會使用最后一個,使用Windows自帶的程序msconfig或注冊表編輯器(regedit. exe)都可以將其輕而易舉地刪除,可見這也不是一種可靠的方法。但是,現(xiàn)在也有了改進(jìn),我們可以在木馬程序中加一個時問控件,實時監(jiān)視注冊表中自身的啟動鍵值是否存在,一旦發(fā)現(xiàn)被刪除,則立即重新寫人,來保證下次Windows啟動時能被運行,這樣木馬程序和注冊表中的啟動鍵值之間就形成了一種互相保護(hù)的狀態(tài)。木馬程序未中止,啟動鍵值就無法刪除(手工刪除后木馬程序又自動添加上了),相反的,不刪除啟動鍵值,下次啟動Windows還會啟動木馬。破解方法:首先,以安全模式啟動 Windows,此時Windows不會加載注冊表中的項Ei ,因此木馬不會被啟動,相互保護(hù)的狀況也就不攻自破了。然后,就可以刪除注冊表中的鍵值和相應(yīng)的木馬程序了。通過HKEY_LOCAL_MACHINE \Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce,HKEY_ CURRENT_ USER\Software\Microsoft\Windows \CurrentVersion \ RunOnce和HKEY_ LO-CAL_MACHINE\Software\ Microsoft \Windows \CurrentVersion \ RunServices Once,,
常用木馬:Happy99,,
這是一種很少使用的方法,可是隱蔽性很強,并且也不會在msconfig _r留下蹤跡。在這個鍵值下的項目和上一種相似,會在Windows啟動時啟動,但Windows啟動后,該鍵值下的項目會被清空,因而不易被發(fā)現(xiàn),但是只能啟動一次。還有一種方法,不是在啟動的時候加而是在退出Windows的時候,這要求木馬程序本身要截獲Windows的消息,當(dāng)發(fā)現(xiàn)關(guān)閉Windows消息時,暫停關(guān)閉過程,添加注冊表項目,然后才開始關(guān)閉Windows,這樣用Regedit也找不到它的蹤跡了。這種方式也有一個不完美的地方,就是一旦Windows異常中止(對于Windows9x這是經(jīng)常的),木馬也就失效了。
上面的三種方式各自有各自的特點,通常木馬會選擇第一個鍵值,因為在第二個鍵值下的項目會在Windows啟動完成前運行,并等待程序結(jié)束才會繼續(xù)啟動Windows
3通過autoexec. bat,winstart. bat或confg.sys文件:其實這種方法并不適合木馬使用,因為該文件會在Windows啟動前運行,這時系統(tǒng)處于DOS環(huán)境,只能運行16位應(yīng)用程序,Window,下的32位程序是不能運行的。木馬此時也就失效了,可是仍然要防范,因為木馬的偽裝就是要做到讓你無從下手
4通過System. ini文件:事實上,System. ini文件并沒有給用戶可用的啟動項目,然而通過它啟動卻是非常好用的。在System. ini文件的“Boot”域中的Shell項的值正常情況下是" explorer. exe",這是Windows的外殼程序,換一個程序就可以徹底改變Windows的面貌(如改為progman. exe就可以讓W(xué)indows 9x變成Windows 3. x)。還可以在“explorer. exe”后加上木馬程序的路徑,這樣Windows啟動后木馬也就隨之啟動,而且即使是安全模式啟動也不會跳過這一項,這樣木馬也就可以保證永遠(yuǎn)隨Windows啟動了
5寄生于特定程序之中
即木馬和正常程序捆綁,有點類似于病毒,程序在運行時,木馬程序先獲得控制權(quán)或另開一個線程以監(jiān)視用戶操作、截取密碼等,這類木馬編寫的難度較大,需要了解PE文件結(jié)構(gòu)和Windows的底層知識
6將特定的程序改名
QQ是這類木馬最多的寄主,比方說,將QQ的啟動文件QQ2000b. exe改為QQ2000b.ico. exe,再將木馬程序改為QQ2000b. exe。這樣以后,一旦用戶運行“QT , QQ木馬也就運行了,然后才由QQ木馬去啟動真正的QQ
7文件關(guān)聯(lián):一般情況下木馬程序會將自己和TXT文件或EXE文件關(guān)聯(lián),這樣當(dāng)打開
一個文本文件或運行一個程序時,木馬也就偷偷地啟動了
電腦木馬病毒如何運行相關(guān)文章: