扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
3.凡是能自动加载的地方,木马都喜欢安家。winstart.bat也是一个能自动被windows加载运行的文件,他多数情况为应用程序及windows自动生成,在执行了win.com并加载了多数驱动程序之后开始执行(这一点可通过启动时按F8健在选择逐步跟踪启动过程方式得知)。由于autoexec.bat的功能可以由winstart.bat代替完成,因此木马完全可以像在autoexec.bat中那样被加载运行,危险由此而来!
4.内置到注册表中
由于隐藏到以上方法木马很快就会被人查处,于是木马又打起了注册表的注意。注册表本身就非常庞大复杂,众多的启动项目及易掩人耳目。往往很多书中都会大惊小怪的告戒读者千万别动注册表,那很危险。我本人就很不同意这一观点!是非常不同意!!如果你学不会走路你就永远长不大!你怕摔交你就永远生长在婴儿期!!在windows系统有很多功能只有通过修改注册表才能调整。我建议在修改注册表之前先备份注册表或用ghost给整个系统备份,基本就可高枕无忧了。还是言归正传吧:
隐蔽性强的木马都喜欢在注册表里做文章,所以一定要检查以下键值:
HKEY_LOCAL_MACHINESoftwaremicrosoftwindowsCurrentVersionRun
…………………………………………………………………………………RunOnce
…………………………………………………………………………………RunOnceEx
…………………………………………………………………………………RunServices
…………………………………………………………………………………RunServicesOnce
HKEY_CURRENT_USERsoftwaremicrosoftwindowsCurrentVersionRun
…………………………………………………………………………………RunOnce
…………………………………………………………………………………RunOnceEx
…………………………………………………………………………………RunServices
…………………………………………………………………………………RunServicesOnce
HKEY_USERS.DefaultsoftwaremicrosoftwindowsCurrentVersionRun
…………………………………………………………………………………RunOnce
…………………………………………………………………………………RunOnceEx
…………………………………………………………………………………RunServices
…………………………………………………………………………………RunServicesOnce
上面这些主键下面的启动项目都可以成为木马的藏生之处,可要小心哦!如果是WINDOWS NT系统,那还的留心以下键值:
HKEY_LOCAL_MACHINEsoftwareSAM ,正常情况SAM里面应该是空的。
(我这里说的NT系统就是平常我们用的2000啦XP啦等..这些都属于NT平台)
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者