Chinaunix首页 | 论坛 | 博客
  • 博客访问: 1029011
  • 博文数量: 179
  • 博客积分: 10080
  • 博客等级: 上将
  • 技术积分: 2580
  • 用 户 组: 普通用户
  • 注册时间: 2006-02-10 09:26
文章分类

全部博文(179)

文章存档

2015年(1)

2014年(1)

2012年(1)

2011年(3)

2010年(14)

2009年(11)

2008年(10)

2007年(42)

2006年(96)

我的朋友

分类: WINDOWS

2006-04-22 06:58:07

狡“马”三“窟 (木马加载的位置)
  讨论木马加载方法的文章已经很多了,不过笔者最近发现木马加载又有了新的方法,通过这些方法加载的木马,隐藏性更强,我们在MSCONFIG和启动项中都无法看到它们的踪影,甚至在服务列表中也找不到它们。现在,笔者就采用普通操作的方式,为大家分析一下它们的入侵过程,大家可以通过对这些过程的了解,找也隐藏在机器的中木马。
一窟:组策略加载法
  第一步:依次点击“开始”→“运行”,在“运行”对话框中输入“gpedit.msc”,启动组策略编辑器。
  第二步,在“组策略”窗口中,依次选择“用户配置→管理模板→系统→登录”,在右边选项中双击“在用户登录时运行这些程序”,在弹出的属性窗口中选择“已启用”。
  第三步,在“登录时运行的项目”中点击“显示”按钮,接着点击“添加”按钮选择启动时需要加载的程序。
  提示:木马通过将自身程序设定在组策略中随系统登录而启动,从而实现了每次登录系统都加载相应的木马程序。用户可以借鉴以上步骤对木马进行查找。
  
  二窟:注册表policies键值
  其实在注册表中,有很多键值可以实现随系统启动而加载相应的程序,并不是我们常说的Run、RunONCE等。例如“HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Policies\Explorer\Run”项的键值也可以实现自动加载的目的。
  提示:木马通过在Policies键值中添加项目从而使得自己可以随系统启动而启动。因此,用户可以在该键值中查找木马、清除木马。
  三窟:注册表新键值
  还有一种新的利用注册表隐藏木马的方法,那就是在注册表中的“HKEY_CURRENT_USER\Software\Microsoft\Windows NT\Current Version\Windows”项中建立一个字符串,命名为load,把的键值改为要自行启动的程序的路径即可。
  提示:在注册表中还有很多地方可以实现程序随系统启动而启动,通过在这些地方添加木马程序就可以实现木马的自动加载。
  按照上述方法进行设置后,木马程序就只可以随着系统的启动而自动运行了,在MSCONFIG和启动项中都无法看到它的踪影,甚至在服务列表中也找不到该程序。因此,在清剿木马的时候,大家不妨到这三“窟”去清理一下,也许你要找的木马程序就藏在这些地方。
阅读(1024) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~