扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
load=
run=
正常情况下,这两项为空,如图8-1所示。
我们知道,这两项分别是用来当系统启动时自动运行和加载程序的。如果木马程序加载到这两个子项中,那么,当计算机系统启动时即可自动运行或加载了。当然,有时我们也可能在系统中确实需要加载某一程序,但我们必须知道这更是木马利用的好机会,它往往会在现有加载的程序文件名之后再加一个它自己的文件名或者参数,这个文件名也往往用常见的文件名,如Command.exe、Sys.com等来伪装。
因此,如果我们发现系统中的此两项加载了任何可疑的程序,应当特别当心。这时,可根据其提供的源文件路径和功能进一步检查。
图8-1 Win.ini配置图
在System.ini文件中加载
类似于Win.ini文件,在Windows 9x系统中,系统信息文件System.ini中也有一个启动加载项,那就是在[boot]子项中的“Shell”项,如图8-2所示。
图8-2 System.ini配置图
在这里,木马程序最惯用的伎俩就是把本应是“Explorer”变成它自己的程序名,名称伪装成几乎与原来的一样。例如,修改“Explorer”的字母“l”改为数字“1”,或者把其中的“o”改为数字“0”,如果不仔细留意,这些改变是很难被人发现的。当然,也有的木马把自己附加在Explorer.exe后面,直接调用动态连接库进行运行。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。