10另类木马的自动加载技术.doc

另类木马的自动加载技术 ? ? 木马程序制作者总是在寻找更不易被大家发现的Windows启动时自动加载程序的地方作为木马自启动点。 注册表中Userinit 位置 注册表中Userinit这个项后面带的是系统启动程序，它可以以逗号分隔符的方式跟多个系统启动时需要自动加载的程序，正常情况下的 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowNT\CurrentVersion \Winlogon项下的Userinit=C:\WINDOWS\system32\userinit.exe，如图1所示。 图1：Userinit的值 这个键值后可以带一些系统启动时的初始化程序，例如“C:\WINDOWS\system32\userinit.exe,QQ.exe”（不含引号），这里QQ.exe就随系统的启动而运行，如果在QQ.exe后面加逗号再带一个木马程序，或是干脆将QQ.exe替换为木马程序，那么这个木马也就随系统的启动而自动启动了。 利用AutoRun.inf自动启动 Autorun.inf这个文件是很早就存在的，在WinXP以前的其他windows系统（如Win98，2000等），需要让光盘、U盘插入到机器自动运行的话，就要靠autorun.inf。这个文件是保存在驱动器的根目录下的（是一个隐藏的系统文件），它保存着一些简单的命令，告诉系统这个新插入的光盘或硬件应该自动启动什么程序，也可以告诉系统让系统将它的盘符图标改成某个路径下的icon。有些病毒或是木马作者正是利用这一点，通过这个autorun.inf文件，在用户系统完全不知情的情况下，“自动”执行任何命令或木马程序。 AutoRun.inf不仅能应用于光盘和U盘中，同样也可以应用于硬盘中（要注意的是，AutoRun.inf必须存放在磁盘根目录下才能起作用），下面一起来看看AutoRun.inf文件的内容吧。 打开记事本，新建一个文件，将其命名为AutoRun.inf，在AutoRun.inf中键入以下内容：出自 51CTO.COM博客 [AutoRun] Icon=C:\Windows\System\Shell32.DLL,21 Open=C:\Program Files\ACDSee\ACDSee.exe 其中： 第一行“[AutoRun]”是必须的固定格式，一个标准的AutoRun文件必须以它开头，目的是告诉系统执行它下面几行的命令； 第二行“Icon= C:\Windows\System\Shell32.DLL,21”是给硬盘或光盘设定一个个性化的图标，“Shell32.DLL”是包含很多Windows图标的系统文件，“21”表示显示编号为21的图标，无数字则默认采用文件中的第一个图标； 第三行“Open=C:\Program Files\ACDSee\ACDSee.exe”指出要运行程序的路径及其文件名。 如果把第三行的Open行换为木马文件，必须是.exe、.com、.bat文件，其他格式文件可以使用start.exe打开或使用ShellExecute命令，并将这个AutoRun.inf文件设置为隐藏属性，这样，当对方点击硬盘时就会启动木马。 另外，在AutoRun.inf文件中，也可以运行某个注册表文件，在注册表文件中事先设计好自己想要达到的目的，如想对方共享C盘等，键入以下内容： [AutoRun] Open=regedit/s Share.reg ；加/s参数是为了导入时不会显示任何信息。而share.reg是预先写好的注册表程序。 保存AutoRun.inf文件。将Share.reg和AutoRun.inf这两个文件都复制到对方的某个盘的根目录下，这样对方只要双击这个盘就会将Share.reg导入注册表，这样对方电脑重启后黑客也就达到他的目的了。 使用AutoRun.inf文件的方式加载木马不需对方运行木马服务端程序，而只需他双击某盘符就会使木马运行！这样做的好处显而易见，那就是大大的增加了木马运行的主动性！须知许多人现在都是非常警惕的，不熟悉的文件他们轻易的不会运行，而这种方法就很难防范了。 一般说来，黑客会给木马服务端文件改个名字，和系统文件名很相像，然后给木马换个图标，使它看起来像TXT文件、ZIP文件或图片文件等，最后修改木马的资源文件使其不被杀毒软件识别，当服务端用户信以为真时，木马却悄悄侵入了系统。 组策略中的隐藏加载木马 大家所熟知的木马程序一般的启动方式，如加载到“开始”菜单中的“启动”项、记录到注册表的[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]项和[HKEY_LOCAL_MACHINE\SOF