計(jì)算機(jī)安全之認(rèn)清木馬的原理(3)

服務(wù)端用戶運(yùn)行木馬或捆綁木馬的程序后，木馬就會(huì)自動(dòng)進(jìn)行安裝。首先將自身拷貝到WINDOWS的系統(tǒng)文件夾中C:\WINDOWS或C:\WINDOWS\SYSTEM目錄下。然后在注冊(cè)表、啟動(dòng)組、非啟動(dòng)組中設(shè)置好木馬的觸發(fā)條件，這樣木馬的安裝就完成了。安裝后就可以啟動(dòng)木馬了。

由觸發(fā)條件激活木馬

觸發(fā)條件是指啟動(dòng)木馬的條件，大致出現(xiàn)在下面八個(gè)地方：

注冊(cè)表

打開HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\下的五個(gè)以Run和Run Services主鍵，在其中尋找可能是啟動(dòng)木馬的鍵值。

WIN.INI

C:\WINDOWS目錄下有一個(gè)配置文件win.ini，用文本方式打開，在windows字段中有啟動(dòng)命令load=和run=，在一般情況下是空白的，如果有啟動(dòng)程序，可能是木馬。

SYSTEM.INI

C:\WINDOWS目錄下有個(gè)配置文件system.ini，用文本方式打開，在386Enh、mic、drivers32中有命令行，在其中尋找木馬的啟動(dòng)命令。

Autoexec.bat和Config.sys

在C盤根目錄下的這兩個(gè)文件也可以啟動(dòng)木馬。但這種加載方式一般都需要控制端用戶與服務(wù)端建立連接后，將已添加木馬啟動(dòng)命令的同名文件上傳到服務(wù)端覆蓋這兩個(gè)文件才行。

*.INI

即應(yīng)用程序的啟動(dòng)配置文件，控制端利用這些文件能啟動(dòng)程序的特點(diǎn)，將制作好的帶有木馬啟動(dòng)命令的同名文件上傳到服務(wù)端覆蓋這同名文件，這樣就可以達(dá)到啟動(dòng)木馬的目的了。

注冊(cè)表

打開HKEY_CLASSES_ROOT\文件類型\shell\open\command主鍵，查看其鍵值。舉個(gè)例子，國產(chǎn)木馬“冰河”就是修改HKEY_CLASSES_ROOT\txtfile\shell\open\command下的鍵值，將“C:\WINDOWS\NOTEPAD.EXE％1”改為“C:\WINDOWS\SYSTEM\SYSEXPLR.EXE％1”，這時(shí)你雙擊一個(gè)TXT文件后，原本應(yīng)用NOTEPAD打開文件的，現(xiàn)在卻變成啟動(dòng)木馬程序了。還要說明的是不光是TXT文件，通過修改HTML、EXE、ZIP等文件的啟動(dòng)命令的鍵值都可以啟動(dòng)木馬，不同之處只在于“文件類型”這個(gè)主鍵的差別，TXT是txtfile，ZIP是WINZIP，大家可以試著去找一下。

捆綁文件

實(shí)現(xiàn)這種觸發(fā)條件首先要控制端和服務(wù)端通過木馬建立連接，然后控制端用戶用工具軟件將木馬文件和某一應(yīng)用程序捆綁在一起，然后上傳到服務(wù)端覆蓋原文件，這樣即使木馬被刪除了，只要運(yùn)行捆綁了木馬的應(yīng)用程序，木馬又會(huì)被安裝上去了。

啟動(dòng)菜單

在“開始—程序—啟動(dòng)”選項(xiàng)下也可能有木馬的觸發(fā)條件。

木馬的原理就為大家介紹完了，希望大家愛通過以上的內(nèi)容能夠清楚的認(rèn)識(shí)了木馬，同時(shí)我們還應(yīng)該多多學(xué)習(xí)防范木馬的知識(shí)，以防止遭到攻擊。

服務(wù)器租用/服務(wù)器托管中國五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]