知根知底 解析木马驻留系统的方式

知根知底 解析木马驻留系统的方式 - 注册表 - 电脑教程网

知根知底 解析木马驻留系统的方式

日期:2006-05-08   荐:

    木马病毒,我们大家都是非常的熟悉,这个病毒传播危害大,那么它都通过那些方式传播的你知道吗?

    第一招:利用系统启动文件

    1 注册表 CurrentUser \ SoftWare \ Microsoft \ Windows \ CurrentVersion \ 下的所有run有关的子键

    2 注册表 LocalMachine \ SoftWare \ Microsoft \ Windows \ CurrentVersion \ 下的所有run有关的子键

    3 注册表 CurrentUser \ SoftWare \ Microsoft \ Windows NT \ CurrentVersion \ 键名为load的字符型数据

    4 注册表 LocalMachine \ SoftWare \ Microsoft \ Windows NT \ CurrentVersion \ 键名为load的字符型数据

    第二招:关联类型文件使木马运行

    在业内著名的木马冰河就是这样启动的,它关联的是exe类型的文件,方法如下:(以下方法是我在我的win2003中测试通过的)

    注册表 ClassRoot 下的.exe 文件打开方式为exefile,我们就找到exefile子键,然后exefile该键下有一个shell子键,在shell子键下有open子键,在open下有command子键,command里有default键,value为"%1" %* 我们把它改变为 木马路径 "%1" %* 就可以了

    当然win2000 或 win98中是不一样的 我刚才测试了 冰河作者看来也是心狠手辣啊

(出处:http://www.sheup.com)




标签: