我们知道,在注册表HKEY_LOCAL_MACHINE SoftwareMicrosoftWindowsCurrentVersionRun下可以加载程序,使之开机时自动运行,类似Run这样的子键在注册表中还有几处,均以Run开头,如RunOnce、RunServices等。除了这种方法,还有一种修改注册表的方法也可以使程序自启动。
具体说来,就是更改文件的打开方式,这样就可以使程序跟随您打开的那种文件类型一起启动。举例来说,打开注册表,展开注册表到HKEY_CLASSES_ROOTexefileshell
opencommand,这里是exe文件的打开方式,默认键值为:%1%*。如果把默认键值改为Trojan.exe%1%*,您每次运行exe文件,这个Trojan.exe文件就会被执行。Href=”http://www.pcdu.net/anquan/Trojan/””>木马灰鸽子就采用关联exe文件的打开方式,而大名鼎鼎的href=””http://www.pcdu.net/anquan/Trojan/””>木马冰河采用的是也与此相似的一招关联txt文件。
对付这种隐藏方法,主要是经常检查注册表,看文件的打开方式是否发生了变化。如果发生了变化,就将打开方式改回来。最好能经常备份注册表,发现问题后立即用备份文件恢复注册表,既方便、快捷,又安全、省事。
href=””http://www.pcdu.net/anquan/Trojan/””>木马对设备名的利用
大家知道,在Windows下无法以设备名来命名文件或文件夹,这些设备名主要有aux、com1、com2、prn、con、nul等,但Windows 2000/XP有个漏洞可以以设备名来命名文件或文件夹,让href=””http://www.pcdu.net/anquan/Trojan/””>木马可以躲在那里而不被发现。
具体方法是:点击开始菜单的运行,输入cmd.exe,回车进入命令提示符窗口,然后输入md c:con命令,可以建立一个名为con的目录。默认请况下,Windows是无法建立这类目录的,正是利用了Windows的漏洞我们才可以建立此目录。再试试输入md c:aux命令,可以建立aux目录,输入md c:prn可以建立prn目录,输入md c:com1目录可以建立Com1目录,而输入md c: ul则可以建立一个名为nul的目录。在资源管理器中依次点击试试,您会发现当我们试图打开以aux或com1命名的文件夹时,explorer.exe失去了响应,而许多牧马人就是利用这个方法将href=””http://www.pcdu.net/anquan/Trojan/””>木马隐藏在这类特殊的文件夹中,从而达到隐藏、保护href=””http://www.pcdu.net/anquan/Trojan/””>木马程序的目的。
现在,我们可以把文件复制到这个特殊的目录下,当然,不能直接在Windows中复制,需要采用特殊的方法,在CMD窗口中输入copy muma.exe .c:aux命令,就可以把href=””http://www.pcdu.net/anquan/Trojan/””>木马文件muma.exe复制到C盘下的aux文件夹中,然后点击开始菜单中的运行,在运行中输入c:aux muam.exe,就会成功启动该href=””http://www.pcdu.net/anquan/Trojan/””>木马。我们可以通过点击文件夹名进入此类特殊目录,不过,如果您要试图在资源管理器中删除它,会发现这根本就是徒劳的,Windows会提示找不到该文件。
”