解析木马驻留系统的几种方式

安全 黑客攻防
本文通过木马利用系统启动文件、关联类型文件使木马运行、文件捆绑等五种方式,介绍木马程序是如何对系统进行驻留和传播的。

木马是一种令互联网用户十分生厌的程序,当今的杀毒防护产品基本上都囊括了对木马的查杀。但是木马仍旧是黑客入侵时所钟爱的手段,那么木马是如何驻留在系统内并且进行传播的呢?

木马驻留第一招:利用系统启动文件

1 注册表 CurrentUser \ SoftWare \ Microsoft \ Windows \ CurrentVersion \ 下的所有run有关的子键

2 注册表 LocalMachine \ SoftWare \ Microsoft \ Windows \ CurrentVersion \ 下的所有run有关的子键

3 注册表 CurrentUser \ SoftWare \ Microsoft \ Windows NT \ CurrentVersion \ 键名为load的字符型数据

4 注册表 LocalMachine \ SoftWare \ Microsoft \ Windows NT \ CurrentVersion \ 键名为load的字符型数据

木马驻留第二招:关联类型文件使木马运行

在业内著名的木马冰河就是这样启动的,它关联的是exe类型的文件,方法如下:(以下方法是我在我的win2003中测试通过的)

注册表 ClassRoot 下的.exe 文件打开方式为exefile,我们就找到exefile子键,然后exefile该键下有一个shell子键,在shell子键下有open子键,在open下有command子键,command里有default键,value为"%1" %* 我们把它改变为 木马路径 "%1" %* 就可以了

当然win2000 或 win98中是不一样的 我刚才测试了 冰河作者看来也是心狠手辣啊

木马驻留第三招:文件捆绑使木马运行

捆绑和关联文件不同,关联是修改注册表,但捆绑类似于病毒的“感染”,就是把木马的进程感染到其他的执行文件上,业内著名木马“网络公牛 - Netbu ll”就是利用这种方法进行启动。

网络公牛服务端名称newserver.exe,运行后自动脱壳到c:\windows\system\checkdll.exe目录下,下次开机自动运行,同时服务端在运行时会自动捆绑以下文件:

win9x: notepad.exe write.exe regedit.exe winmine.exe winhelp.exe

winnt: notepad.exe regedit.exe reged32.exe drwtsn32.exe winmine.exe

并且自动搜索系统启动项程序,捆绑之。比如qq.exe realplay.exe

除非把以上文件全部删除,否则无法清除,但系统文件删除后系统就无法正常运行,所以大多数人只能重装系统。确实牛。

木马驻留第四招: 进程保护

两个木马进程,互相监视,发现对方被关闭后启动对方。技术其实不神秘,方法如下:

while (true)

{System.Threading.Thread.Sleep(500);//检查对方进程是否关闭,关闭的话再打开。}

木马驻留第五招:巧用启动文件夹

开始菜单的启动文件夹内的文件在系统启动后会随系统启动,假如将一个exe文件或exe文件的快捷方式复制到启动文件夹内,太明显,但设置隐藏属性后不会被系统启动。

有一个办法,将启动文件夹改名为启动a,并将该文件隐藏,然后再新建一个启动文件夹,将原启动文件夹内的所有内容复制到新建的启动文件夹,这样就可以了。(其实系统还是会启动原来的启动文件夹内的内rogn,也就是现在被改为"启动a"的文件夹,而现在我们新建的"启动"文件夹只是一个摆设而已,因为在这里的"启动a"对应着注册表local_machine\software\microsoft\windows\currentversion\explorer\startmenu内的common startup键值,当我们更该原来系统的启动文件夹的名字为"启动a"的时候该键值也会变为:\Documents and Settings\All Users\开始\Programs\启动a”)

另外可在local_machine\software\microsoft\windows\currentversion下建立RunServices子键来实现自启动,和run不同,run是系统启动后加载,runservices是系统登录时就启动

在系统根目录下放置Explorer.exe文件,在Explorer.exe文件中去启动正常的Explorer.exe文件,可以在C盘和D盘下都放上。
 

【编辑推荐】

  1. 黑客不爱软件漏洞 更喜欢利用错误配置
  2. “90后”黑客攻击南京房管局网站
  3. Black Hat和Defcon黑客大会的五大看点
  4. 路由器漏洞:黑客展示如何攻陷百万台
  5. 揭秘黑客手中DDoS攻击利器——黑色能量2代
责任编辑:张启峰 来源: 天极网
相关推荐

2010-09-08 11:23:25

木马加载

2010-05-06 20:45:37

2010-07-30 09:16:24

Flex数据绑定

2010-08-16 14:02:22

CSS

2016-02-16 10:26:58

PythonXML方式

2013-03-27 11:33:32

iOS开发iOSjson解析方式

2019-11-18 16:20:48

RedisRDB数据库

2011-03-30 10:41:07

2021-05-07 16:19:36

异步编程Java线程

2010-09-25 14:48:55

SQL连接

2021-01-19 11:56:19

Python开发语言

2010-08-06 15:35:06

Flex服务器

2015-09-08 09:30:40

2021-08-02 11:13:28

人工智能机器学习技术

2010-11-24 09:56:20

mysql拷贝表

2021-10-07 20:36:45

Redis集群场景

2023-09-07 13:21:00

Linux软件

2023-02-08 08:43:55

前端继承原型

2021-06-16 07:02:22

Python方式邮件

2010-09-08 12:43:31

“隐形”木马启动
点赞
收藏

51CTO技术栈公众号