木馬是怎么利用文件關(guān)聯(lián)和設(shè)置名傳播的
木馬是怎么利用文件關(guān)聯(lián)和設(shè)置名傳播的
木馬它是傳播性極強(qiáng)存在的,它也會(huì)利用文件關(guān)聯(lián)和設(shè)置名傳播,它是怎么利用這些傳播的呢?下面由學(xué)習(xí)啦小編給你做出詳細(xì)的木馬利用文件關(guān)聯(lián)和設(shè)置名傳播介紹!希望對你有幫助!
木馬利用文件關(guān)聯(lián)和設(shè)置名傳播如下:
我們知道,在注冊表HKEY_LOCAL_MACHINE SoftwareMicrosoftWindowsCurrentVersionRun下可以加載程序使之開機(jī)時(shí)自動(dòng)運(yùn)行,類似“Run”這樣的子鍵在注冊表中還有幾處,均以“Run”開頭,如RunOnce、RunServices等。除了這種方法,還有一種修改注冊表的方法也可以使程序自啟動(dòng)。
具體說來,就是更改文件的打開方式,這樣就可以使程序跟隨您打開的那種文件類型一起啟動(dòng)。舉例來說,打開注冊表,展開注冊表到HKEY_CLASSES_ROOTexefileshell
opencommand,這里是exe文件的打開方式,默認(rèn)鍵值為:“%1”%*。如果把默認(rèn)鍵值改為Trojan.exe“%1”%*,您每次運(yùn)行exe文件,這個(gè)Trojan.exe文件就會(huì)被執(zhí)行。木馬灰鴿子就采用關(guān)聯(lián)exe文件的打開方式,而大名鼎鼎的木馬冰河采用的是也與此相似的一招——關(guān)聯(lián)txt文件。
對付這種隱藏方法,主要是經(jīng)常檢查注冊表,看文件的打開方式是否發(fā)生了變化。如果發(fā)生了變化,就將打開方式改回來。最好能經(jīng)常備份注冊表,發(fā)現(xiàn)問題后立即用備份文件恢復(fù)注冊表,既方便、快捷,又安全、省事。
木馬對設(shè)備名的利用:
大家知道,在Windows下無法以設(shè)備名來命名文件或文件夾,這些設(shè)備名主要有aux、com1、com2、prn、con、nul等,但Windows 2000/XP有個(gè)漏洞可以以設(shè)備名來命名文件或文件夾,讓木馬可以躲在那里而不被發(fā)現(xiàn)。
具體方法是:點(diǎn)擊“開始”菜單的“運(yùn)行”,輸入cmd.exe,回車進(jìn)入命令提示符窗口,然后輸入md c:con\命令,可以建立一個(gè)名為con的目錄。默認(rèn)請況下,Windows是無法建立這類目錄的,正是利用了Windows的漏洞我們才可以建立此目錄。再試試輸入md c:aux\命令,可以建立aux目錄,輸入md c:prn\可以建立prn目錄,輸入md c:com1\目錄可以建立Com1目錄,而輸入md c: ul\則可以建立一個(gè)名為nul的目錄。在資源管理器中依次點(diǎn)擊試試,您會(huì)發(fā)現(xiàn)當(dāng)我們試圖打開以aux或com1命名的文件夾時(shí),explorer.exe失去了響應(yīng),而許多“牧馬人”就是利用這個(gè)方法將木馬隱藏在這類特殊的文件夾中,從而達(dá)到隱藏、保護(hù)木馬程序的目的。
現(xiàn)在,我們可以把文件復(fù)制到這個(gè)特殊的目錄下,當(dāng)然,不能直接在Windows中復(fù)制,需要采用特殊的方法,在CMD窗口中輸入copy muma.exe \.c:aux\命令,就可以把木馬文件muma.exe復(fù)制到C盤下的aux文件夾中,然后點(diǎn)擊“開始”菜單中的“運(yùn)行”,在“運(yùn)行”中輸入c:aux muam.exe,就會(huì)成功啟動(dòng)該木馬。我們可以通過點(diǎn)擊文件夾名進(jìn)入此類特殊目錄,不過,如果您要試圖在資源管理器中刪除它,會(huì)發(fā)現(xiàn)這根本就是徒勞的,Windows會(huì)提示找不到該文件。
看了“木馬是怎么利用文件關(guān)聯(lián)和設(shè)置名傳播的”文章的還看了:
5.電腦木馬解決方案