木马实现自启动的实现方式?
1.在启动组中加载 2.利用注册表加载运行 3.在win.ini、system.ini以及应用程序的启动配 置文件(.ini)中实现启动。 4.修改文件关联。使得执行相关文件时变为执行木 马程序。 5.捆绑文件。将木马程序与某应用程序捆绑。如 (将木马与QQ捆绑后替换用户原来的QQ程序) 6.在“组策略”中设置登录时运行的程序。 7.系统路径遍历优先级欺骗。
木马如何实现开机自动运行
你好,木马要实现开机启动,有数种途径,最常见的是注册表,主要涉及到的注册表子键有HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run、RunOnce、RunServices子键右侧窗口中的键值,HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run、RunOnce、RunServices子键右侧窗口中的键值,容易涉及到映像劫持的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options子键下的各个子键,尤其是涉及到杀毒软件名称及重要HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks子键右侧窗口中的键值,及HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon中的Userinit键值也是容易被篡改的对象,如果是XP系统,还要提防HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows右面窗口中的AppInit_Dlls键值内容是否被篡改,这个键值内容默认为空。有些是以驱动程序形式进行加载,不过这些都难不倒腾讯电脑管家,你在“杀毒”选项中点击闪电查杀之时,电脑管家就会自动扫描这些系统关键位置,发现可疑注册表项目就会提示你进行修复。当然,一旦感觉可能中了病毒木马,最好是点击一下全盘查杀,将其它位置的文件也一并检查了。当然,你也可以自行在电脑管家的“电脑加速”中点击启动项查看,发现可疑的可以直接将其设置到已禁用。
还有是加载到服务项中,其实这也是涉及到注册表的HKEY_LOCAL_MACHINE\SYSTEM\CurrentContrlset\Services子键下的各个子键,只是这里面的东西实在太多,不能随便删除,操作不当的话,你的电脑就瘫痪了。你可以在电脑管家的电脑加速中点击服务项,仔细查看可疑的服务项,将其设置为已禁用。
木马的启动项还可能会加载到计划任务中,你在电脑管家的电脑加速中点击计划任务,也同样可以查看可疑的计划任务项并设置为已禁用。
不过木马的模块也可能会插入到系统进程,如Explorer.exe中以实现自身的自动启动,遇有这种文件,你可以点击右下角的工具箱,选择文件粉碎,点击添加文件按钮,添加木马模块文件,然后点击粉碎按钮。
如果你还有其它电脑问题,欢迎你在电脑管家企业平台提出,我们将尽力为你解答。
木马的启动方式有几种
方式一:借助启动程序
此方式是最常见的,像一般的软件设置引导是一样的,但现在的木马一般不使用这种方式,因为当它们出现在 “开始” 菜单的 “开始” 时,很容易找到行踪并被处置。
方式二:借助注册表
直接调用注册表进行启动,这是很多Windows程序采用的方法,也是木马最常用的方法。使用起来很方便,但是很容易被发现。因为应用广泛,几乎一提到木马就会让人想到这些注册表中的主键,而木马通常使用最后一个。
方式三:通过DOS自启动程序
一般会借助一些在DOS系统下会自动启动的程序文件,这些文件在DOS环境下会自动启动木马也会借助这些文件来启动。
其实这种方法并不适合木马使用,因为该文件会在Windows启动前运行,这时系统处于DOS环境,只能运行16位应用程序,Windows下的32位程序是不能运行的。木马此时也就失效了,但是仍然要防范,因为木马的伪装就是要做到让你无从下手。
方式四:通过System.ini文件启动
实际上,System.ini文件并没有给用户可用的启动项目,然而通过它启动却是非常好用的。在System.ini文件的“Boot”域中的Shell项的值正常情况下是explorer exe,这是Windows的外壳程序,换一个程序就可以彻底改变Windows 的面貌。
方式五:寄生于特定程序之中跟随程序启动
即木马和正常程序捆绑,有点类似于病毒,程序在运行时,木马程序先获得控制权或另开一个线程以监视用户操作、截取密码等,这类木马编写的难度较大,需要了解PE文件结构和Windows的底层知识。
方式六:将特定的程序改名
木马会将自己的图标修改为一些常用的程序图标,然后把原有的的程序卸载或者隐藏,一旦用户去启动这些程序则主动地启动了这些木马程序。
方式七:文件关联
一般情况下木马程序会将自己和TXT文件或EXE文件关联,这样当打开一个文本文件或运行一个程序时,木马也就偷偷地启动了。
关于木马自启动的方法
1、使用系统文件启动木马
*Autostart Folder
C:\Windows\Start Menu\Programs\startup
这个文件夹是windows启动之后自动运行的文件夹,放在这个下面的任何程序都将自动运行,当机器重新启动的时候。
*Win.ini
如果win.ini中包含下面的,则trojan将自动执行
load=Trojan.exe
run=Trojan.exe
*System.ini
Shell=Explorer.exe trojan.exe
系统启动的时候将自动执行跟在explorer后面的程序
*Wininit.ini
放在该文件下的程序将自动执行,执行完毕后就删除自己,特别适合木马自运行使用
*Winstart.bat
机器启动时的自运行批处理文件
@trojan.exe
使用上面这个语句,木马就自动运行了
*Autoexec.bat
这个是DOS命令行自运行批处理文件,使用
@trojan.exe
*Config.sys
这里也可以自动加载木马
*Explorer Startup
如果存在c:\explorer.exe,则windows将首先执行该程序,而不是通常要执行的c:\Windows\Explorer.exe,这样木马可以把自己改名为explorer.exe,存放在c:\下,这样就执行了它。
2、使用注册表
下面都是木马的藏身之地
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Info"="c:\directory\Trojan.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"Info"="c:\directory\Trojan.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
"Info"="c:\directory\Trojan.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]
"Info="c:\directory\Trojan.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Info"="c:\directory\Trojan.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"Info"="c:\directory\Trojan.exe"
另外木马也可以在这里运行
[HKEY_CLASSES_ROOT\exefile\shell\open\command]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]
正常的情况下,这个键值应该是"%1 %*",如果是这样trojan.exe "%1 %*",那么就可以自动启动木马了
还有使用Autorun.inf 实现启动木马的
这也是目前网络上木马传播最为广泛的方法之一
0条大神的评论