首页    新闻    下载    文档    论坛     最新漏洞    黑客教程    数据库    搜索    小榕软件实验室怀旧版    星际争霸WEB版    最新IP准确查询   
名称: 密码:      忘记密码  马上注册
安全知识 :: 黑客教程

特络伊木马如何利用文件关联和设置名?


http://www.gipsky.com/
  <b><a href=http://www.baidu.com/s?tn=piglet&ct=&lm=&z=&rn=&word=木马 target="_blank"><font color=red>木马</font></a></b>对文件关联的利用



  我们知道,在<b><a href=http://www.baidu.com/s?tn=piglet&ct=&lm=&z=&rn=&word=注册表 target="_blank"><font color=red>注册表</font></a></b>HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersionRun下可以加载程序,使之开机时自动运行,类似“Run”这样的子键在<b><a href=http://www.baidu.com/s?tn=piglet&ct=&lm=&z=&rn=&word=注册表 target="_blank"><font color=red>注册表</font></a></b>中还有几处,均以“Run”开头,如RunOnce、RunServices等。除了这种方法,还有一种修改<b><a href=http://www.baidu.com/s?tn=piglet&ct=&lm=&z=&rn=&word=注册表 target="_blank"><font color=red>注册表</font></a></b>的方法也可以使程序自启动。



  具体说来,就是更改文件的打开方式,这样就可以使程序跟随您打开的那种文件类型一起启动。举例来说,打开<b><a href=http://www.baidu.com/s?tn=piglet&ct=&lm=&z=&rn=&word=注册表 target="_blank"><font color=red>注册表</font></a></b>,展开<b><a href=http://www.baidu.com/s?tn=piglet&ct=&lm=&z=&rn=&word=注册表 target="_blank"><font color=red>注册表</font></a></b>到HKEY_CLASSES_ROOTexefileshell opencommand,这里是exe文件的打开方式,默认键值为:“%1”%*。假如把默认键值改为Trojan.exe“%1”%*,您每次运行exe文件,这个Trojan.exe文件就会被执行。<b><a href=http://www.baidu.com/s?tn=piglet&ct=&lm=&z=&rn=&word=木马 target="_blank"><font color=red>木马</font></a></b>灰鸽子就采用关联exe文件的打开方式,而大名鼎鼎的<b><a href=http://www.baidu.com/s?tn=piglet&ct=&lm=&z=&rn=&word=木马 target="_blank"><font color=red>木马</font></a></b>冰河采用的是也与此相似的一招??关联txt文件。



  对付这种隐藏方法,主要是经常检查<b><a href=http://www.baidu.com/s?tn=piglet&ct=&lm=&z=&rn=&word=注册表 target="_blank"><font color=red>注册表</font></a></b>,看文件的打开方式是否发生了变化。假如发生了变化,就将打开方式改回来。最好能经常备份<b><a href=http://www.baidu.com/s?tn=piglet&ct=&lm=&z=&rn=&word=注册表 target="_blank"><font color=red>注册表</font></a></b>,发现问题后立即用备份文件恢复<b><a href=http://www.baidu.com/s?tn=piglet&ct=&lm=&z=&rn=&word=注册表 target="_blank"><font color=red>注册表</font></a></b>,既方便、快捷,又安全、省事。



  <b><a href=http://www.baidu.com/s?tn=piglet&ct=&lm=&z=&rn=&word=木马 target="_blank"><font color=red>木马</font></a></b>对设备名的利用



  大家知道,在Windows下无法以设备名来命名文件或文件夹,这些设备名主要有aux、com1、com2、prn、con、nul等,但Windows 2000/XP有个<b><a href=http://www.baidu.com/s?tn=piglet&ct=&lm=&z=&rn=&word=漏洞 target="_blank"><font color=red>漏洞</font></a></b>可以以设备名来命名文件或文件夹,让<b><a href=http://www.baidu.com/s?tn=piglet&ct=&lm=&z=&rn=&word=木马 target="_blank"><font color=red>木马</font></a></b>可以躲在那里而不被发现。



  具体方法是:点击“开始”菜单的“运行”,输入cmd.exe,回车进入命令提示符窗口,然后输入md c:con\命令,可以建立一个名为con的目录。默认请况下,Windows是无法建立这类目录的,正是利用了Windows的<b><a href=http://www.baidu.com/s?tn=piglet&ct=&lm=&z=&rn=&word=漏洞 target="_blank"><font color=red>漏洞</font></a></b>我们才可以建立此目录。再试试输入md c:aux\命令,可以建立aux目录,输入md c:prn\可以建立prn目录,输入md c:com1\目录可以建立Com1目录,而输入md c: nul\则可以建立一个名为nul的目录。在资源治理器中依次点击试试,您会发现当我们试图打开以aux或com1命名的文件夹时,explorer.exe失去了响应,而许多“牧马人”就是利用这个方法将<b><a href=http://www.baidu.com/s?tn=piglet&ct=&lm=&z=&rn=&word=木马 target="_blank"><font color=red>木马</font></a></b>隐藏在这类非凡的文件夹中,从而达到隐藏、保护<b><a href=http://www.baidu.com/s?tn=piglet&ct=&lm=&z=&rn=&word=木马 target="_blank"><font color=red>木马</font></a></b>程序的目的。



  现在,我们可以把文件复制到这个非凡的目录下,当然,不能直接在Windows中复制,需要采用非凡的方法,在CMD窗口中输入copy muma.exe \.c:aux\命令,就可以把<b><a href=http://www.baidu.com/s?tn=piglet&ct=&lm=&z=&rn=&word=木马 target="_blank"><font color=red>木马</font></a></b>文件muma.exe复制到C盘下的aux文件夹中,然后点击“开始”菜单中的“运行”,在“运行”中输入c:aux muam.exe,就会成功启动该<b><a href=http://www.baidu.com/s?tn=piglet&ct=&lm=&z=&rn=&word=木马 target="_blank"><font color=red>木马</font></a></b>。我们可以通过点击文件夹名进入此类非凡目录,不过,假如您要试图在资源治理器中删除它,会发现这根本就是徒劳的,Windows会提示找不到该文件。



  由于使用del c:aux\命令可以删除其中的muma.exe文件,所以,为了达到更好的隐藏和保护效果,下<b><a href=http://www.baidu.com/s?tn=piglet&ct=&lm=&z=&rn=&word=木马 target="_blank"><font color=red>木马</font></a></b>者会把muma.exe文件也改名,让我们很难删除。具体方法就是在复制<b><a href=http://www.baidu.com/s?tn=piglet&ct=&lm=&z=&rn=&word=木马 target="_blank"><font color=red>木马</font></a></b>文件到aux文件夹时使用命令copy muma.exe \.c:con.exe,就可以把<b><a href=http://www.baidu.com/s?tn=piglet&ct=&lm=&z=&rn=&word=木马 target="_blank"><font color=red>木马</font></a></b>文件muma.exe复制到aux目录中,并且改名为con.exe,而con.exe文件是无法用普通方法删除的。



  可能有的朋友会想,这个con.exe文件在“开始”菜单的“运行”中无法运行啊。其实不然,只要在命令行方式下输入cmd /c \.c:con就可以运行这个程序了。在运行时会有一个cmd窗口一闪而过,下<b><a href=http://www.baidu.com/s?tn=piglet&ct=&lm=&z=&rn=&word=木马 target="_blank"><font color=red>木马</font></a></b>者一般来说会对其进行改进,方法有很多,可以利用开机脚本,也可以利用cmd.exe的autorun:在<b><a href=http://www.baidu.com/s?tn=piglet&ct=&lm=&z=&rn=&word=注册表 target="_blank"><font color=red>注册表</font></a></b>

HKEY_LOCAL_ MACHINESoftwareMicrosoftCommand Processor下建一个字串AutoRun,值为要运行的.bat文件或.cmd文件的路径,如c:winnt system32 auto.cmd,假如建立相应的文件,它的内容为@\.c:con,就可以达到隐蔽的效果。



  对于这类非凡的文件夹,发现后我们可以采用如下方法来删除它:先用del \.c:con.exe命令删除con.exe文件(该文件假设就是其中的<b><a href=http://www.baidu.com/s?tn=piglet&ct=&lm=&z=&rn=&word=木马 target="_blank"><font color=red>木马</font></a></b>文件名),然后再用rd \.c:aux命令删除aux文件夹即可。



  <b><a href=http://www.baidu.com/s?tn=piglet&ct=&lm=&z=&rn=&word=木马 target="_blank"><font color=red>木马</font></a></b>对AutoRun的利用



  AutoRun不仅能应用于光盘中,同样也可以应用于硬盘中(要注重的是,AutoRun.inf必须存放在磁盘根目录下才能起作用)。让我们一起看看AutoRun.inf文件的内容吧。



  打开记事本,新建一个文件,将其命名为AutoRun.inf,在AutoRun.inf中键入以下内容:



[AutoRun]

Icon=C:WindowsSystemShell32.DLL,21

Open=C:Program FilesACDSeeACDSee.exe



  其中,“[AutoRun]”是必须的固定格式,一个标准的AutoRun文件必须以它开头,目的是告诉系统执行它下面几行的命令;第二行“Icon=C:WindowsSystemShell32.DLL,21”是给硬盘或光盘设定一个个性化的图标,“Shell32.DLL”是包含很多Windows图标的系统文件,“21”表示显示编号为21的图标,无数字则默认采用文件中的第一个图标;第三行“Open=C:Program FilesACDSeeACDSee.exe”指出要运行程序的路径及其文件名。



  假如把Open行换为<b><a href=http://www.baidu.com/s?tn=piglet&ct=&lm=&z=&rn=&word=木马 target="_blank"><font color=red>木马</font></a></b>文件,并将这个AutoRun.inf文件设置为隐藏属性,我们点击硬盘时就会启动<b><a href=http://www.baidu.com/s?tn=piglet&ct=&lm=&z=&rn=&word=木马 target="_blank"><font color=red>木马</font></a></b>。



  为防止遭到这样的“埋伏”,可以禁止硬盘AutoRun功能。在“开始”菜单的“运行”中输入Regedit,打开<b><a href=http://www.baidu.com/s?tn=piglet&ct=&lm=&z=&rn=&word=注册表 target="_blank"><font color=red>注册表</font></a></b>编辑器,展开到HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Policies Exploer主键下,在右侧窗口中找到“NoDriveTypeAutoRun”,就是它决定了是否执行CDROM或硬盘的AutoRun功能。将其键值改为9D,00,00,00就可以关闭硬盘的AutoRun功能,假如改为B5,00,00,00则禁止光盘的AutoRun功能。修改后重新启动计算机,设置就会生效。
<< QQ挂级程序 突破网吧及机房管理限制的方法总结 >>
评分
10987654321
API:
gipsky.com& 安信网络
网友个人意见,不代表本站立场。对于发言内容,由发表者自负责任。

系统导航

 

Copyright © 2001-2010 安信网络. All Rights Reserved
京ICP备05056747号