科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道揪出系统中秘密隐藏的木马(7)

揪出系统中秘密隐藏的木马(7)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

木马为了生存会想尽办法隐藏自己,早期的木马通常会采用以下方式来实现自启动,比方说通过“开始”菜单的“启动”项来加载自己,通过注册表的有关项目来启动木马,还有的木马会注册为系统服务来迷惑我们。
  • 评论
  • 分享微博
  • 分享邮件

  让我们再用其他软件来检验一下利用这种方法隐藏木马的效果如何。大家知道,一般的隐藏文件或目录的方法,如特殊空格法、给文件夹设定空白图标法、修改注册表隐藏目录法等,都会在文件管理软件Windows Commander、看图软件ACDSee或压缩软件WinZIP或WinRAR中显露原形!而用本方法隐藏的目录不会被显示在上述软件中,它们只能看到受保护文件夹的上一层目录,而无法看到里面隐藏的内容!以ACDSee为例,打开ACDSee,可以看到它的界面与资源管理器很相似。左上窗口有Windows树型目录结构,右边主窗口能显示文件夹中的文件,包括具有“隐藏”属性的文件。找到我们隐藏目录和文件的那个E盘,看,根本无法看到goodluck123文件夹里面的test目录(图6)!同理,使用杀毒软件也无法扫描该文件夹的内容,而且在资源管理器中是无法删除该目录的,所以说这种方法对木马来说是一种非常好的保护方法!

    

  

  

  为了更好的隐藏木马文件,对方还会在此方法的基础上略微变通一下,这样隐藏效果就会更好!首先,对方会进入C: ecycled(即回收站)目录下,用文中刚开始提到的方法建立超长目录,并把要隐藏的木马文件移动到其中,选定这些文件后按右键在弹出菜单中选择“属性”,将其属性设置为“隐藏”,这样在Windows就看不到这些文件了,并且清空回收站也依然还存在!是不是非得利用回收站才可以呢?当然不是!只要是特殊文件夹就可以起到和回收站同样的功效,如c:windowsfonts等,所以你也可以把秘密文件和目录放到系统字体目录下。

  接下来修改一下注册表,让文件更彻底地隐藏起来。在“开始”菜单的“运行”中输入Regedit,打开注册表编辑器,展开到HKEY_LOCAL_MACHINESoftwareMicrosoftWindows

  CurrentVersionexplorerAdvancedFolderHiddenSHOWALL分支,修改DWORD值CheckedValue的键值为0(默认为1,如果没有该DWORD值可以新建),如图所示(图7),关闭注册表编辑器,按F5键刷新桌面。现在这些文件隐藏得就更深了,不信你可以看看,看能否看到它们:进入“我的电脑”中,点击“工具”→“文件夹选项”→“查看”→“显示所有文件和文件夹”(图8),本来这样可以查看所有隐藏的文件,但进入隐藏文件的那个回收站后,什么也没有发现!

    

  

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章