木马常用攻击手段-修改系统文件

　　木马程序为了达到在系统启动时自动运行的效果，一般需在第一次运行时修改目标系统配置，修改win.ini文件就是其中的一招。在Windows 9x操作系统下，Win.ini文件中的[windwos]段中有如下加载项：

　　load=

　　run=　

　　正常情况下，这两项为空，如图8-1所示。

　　我们知道，这两项分别是用来当系统启动时自动运行和加载程序的。如果木马程序加载到这两个子项中，那么，当计算机系统启动时即可自动运行或加载了。当然，有时我们也可能在系统中确实需要加载某一程序，但我们必须知道这更是木马利用的好机会，它往往会在现有加载的程序文件名之后再加一个它自己的文件名或者参数，这个文件名也往往用常见的文件名，如Command.exe、Sys.com等来伪装。

　　因此，如果我们发现系统中的此两项加载了任何可疑的程序，应当特别当心。这时，可根据其提供的源文件路径和功能进一步检查。

图8-1 Win.ini配置图

　　在System.ini文件中加载

　　类似于Win.ini文件，在Windows 9x系统中，系统信息文件System.ini中也有一个启动加载项，那就是在[boot]子项中的“Shell”项，如图8-2所示。

图8-2 System.ini配置图

　　在这里，木马程序最惯用的伎俩就是把本应是“Explorer”变成它自己的程序名，名称伪装成几乎与原来的一样。例如，修改“Explorer”的字母“l”改为数字“1”，或者把其中的“o”改为数字“0”，如果不仔细留意，这些改变是很难被人发现的。当然，也有的木马把自己附加在Explorer.exe后面，直接调用动态连接库进行运行。