我們知道,在注冊表HKEY_LOCAL_MACHINE SoftwareMicrosoftWindowsCurrentVersionRun下可以加載程序,使之開機時自動運行,類似Run這樣的子鍵在注冊表中還有幾處,均以Run開頭,如RunOnce、RunServices等。除了這種方法,還有一種修改注冊表的方法也可以使程序自啟動。
具體說來,就是更改文件的打開方式,這樣就可以使程序跟隨您打開的那種文件類型一起啟動。舉例來說,打開注冊表,展開注冊表到HKEY_CLASSES_ROOTexefileshell
opencommand,這里是exe文件的打開方式,默認鍵值為:%1%*。如果把默認鍵值改為Trojan.exe%1%*,您每次運行exe文件,這個Trojan.exe文件就會被執行。Href=”http://www.pcdu.net/anquan/Trojan/””>木馬灰鴿子就采用關聯exe文件的打開方式,而大名鼎鼎的href=””http://www.pcdu.net/anquan/Trojan/””>木馬冰河采用的是也與此相似的一招關聯txt文件。
對付這種隱藏方法,主要是經常檢查注冊表,看文件的打開方式是否發生了變化。如果發生了變化,就將打開方式改回來。最好能經常備份注冊表,發現問題后立即用備份文件恢復注冊表,既方便、快捷,又安全、省事。
href=””http://www.pcdu.net/anquan/Trojan/””>木馬對設備名的利用
大家知道,在Windows下無法以設備名來命名文件或文件夾,這些設備名主要有aux、com1、com2、prn、con、nul等,但Windows 2000/XP有個漏洞可以以設備名來命名文件或文件夾,讓href=””http://www.pcdu.net/anquan/Trojan/””>木馬可以躲在那里而不被發現。
具體方法是:點擊開始菜單的運行,輸入cmd.exe,回車進入命令提示符窗口,然后輸入md c:con命令,可以建立一個名為con的目錄。默認請況下,Windows是無法建立這類目錄的,正是利用了Windows的漏洞我們才可以建立此目錄。再試試輸入md c:aux命令,可以建立aux目錄,輸入md c:prn可以建立prn目錄,輸入md c:com1目錄可以建立Com1目錄,而輸入md c: ul則可以建立一個名為nul的目錄。在資源管理器中依次點擊試試,您會發現當我們試圖打開以aux或com1命名的文件夾時,explorer.exe失去了響應,而許多牧馬人就是利用這個方法將href=””http://www.pcdu.net/anquan/Trojan/””>木馬隱藏在這類特殊的文件夾中,從而達到隱藏、保護href=””http://www.pcdu.net/anquan/Trojan/””>木馬程序的目的。
現在,我們可以把文件復制到這個特殊的目錄下,當然,不能直接在Windows中復制,需要采用特殊的方法,在CMD窗口中輸入copy muma.exe .c:aux命令,就可以把href=””http://www.pcdu.net/anquan/Trojan/””>木馬文件muma.exe復制到C盤下的aux文件夾中,然后點擊開始菜單中的運行,在運行中輸入c:aux muam.exe,就會成功啟動該href=””http://www.pcdu.net/anquan/Trojan/””>木馬。我們可以通過點擊文件夾名進入此類特殊目錄,不過,如果您要試圖在資源管理器中刪除它,會發現這根本就是徒勞的,Windows會提示找不到該文件。
”
