- 易迪拓培训,专注于微波、射频、天线设计工程师的培养
揭露木马最常隐藏在系统中的哪些地方
录入:edatop.com 点击:
木马是一种基于远程控制的黑客程序,程序具有隐蔽性和非授权性的特点。它可以在人不知鬼不觉的状态下控制你或者监视你。那我怎么知道木马在哪里呢?相信不熟悉木马的用户肯定想知道这样的问题。下面笔者将详细讲述木马最喜欢隐藏的位置,希望可以给用户一点帮助。
1、绑定应用程序
木马是一个服务器-客户端程序,木马设计者为了不让用户能轻易地把木马程序删除,常常将木马与其他正常程序捆绑在一起。一旦用户激活木马程序,那么木马文件将木马设计者已经设置好的目标应用程序捆绑,然后上传到服务端覆盖原文件,这样即使木马被删除了,只要运行捆绑了木马的应用程序,木马又会被自动安装。例如木马程序被绑定在某一系统关键文件中,那只要系统正常启动调用了这个系统文件,木马程序也就被自动运行。
2、隐藏在配置文件中
用户大多平时使用图形化界面的操作系统,但是很少有用户会去关心配置文件,甚至很多用户会不清楚该如何使用配置文件。有些木马正是利用了配置文件的特殊作用,实现木马在计算机中运行传播,从而偷窥文件或者监视用户电脑使用情况。对于修改系统配置文件的木马有一个致命的缺陷,很容易被监控程序或细心的管理员发现,所以在Autoexec.bat和Config.sys中加载木马程序的情况并不多见,但大家不要忘记前段时间发生的熊猫烧香和AV终结者等病毒给用户造成的影响。
3、潜伏在Win.ini中
木马要想达到控制或者监视计算机的目的,必须要运行,因此木马必须找一个既安全又能在系统启动时自动运行的地方,于是木马利用Win.ini作为栖身的场所。用户不妨打开Win.ini来看看,在它的[windows]字段中有启动命令"load="和"run=",在一般情况下"="后面是空白的,如果有后跟程序,比方说是这个样子:run=c:123.exe load=c:123.exe时用户需要谨慎留意,这个123.exe很可能是木马程序。
4、伪装在普通文件中
此种方法比较流行,对于不熟练的windows操作者,很容易上当。具体方法是把可执行文件伪装成图片或文本----在程序中把图标改成Windows的默认图片图标, 再把文件名改为*.jpg.exe, 由于Win98默认设置是"不显示已知的文件后缀名",文件将会显示为*.jpg, 不注意的人点击这个图标就中木马。
5、内置到注册表中
注册表是操作系统行为的最直接表现,木马开发者当然不会漏掉任何一个可以利用的机会,于是注册表留下了很多木马的身影。注册表由于比较复杂且可以反映系统的具体配置情况,木马常常喜欢在这些地方做文章:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion下所有以"run"开头的键值 ;
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion下所有以"run"开头的键值;
HKEY-USERS.DefaultSoftwareMicrosoftWindowsCurrentVersion下所有以"run"开头的键值。
6、在System.ini中藏身
Windows安装目录下的System.ini也是木马喜欢隐蔽的地方。打开这个文件,在该文件的[boot]字段中,可以看到shell=Explorer.exe 123.exe,如果确实有这样的内容,那你就不幸了,因为这里的123.exe就是木马服务端程序!另外,在System.ini中的[386Enh]字段,要注意检查在此段内的"driver=路径程序名",这里也有可能被木马所利用。再有,在System.ini中的[mic]、[drivers]、[drivers32]这三个字段,这些段也是起到加载驱动程序的作用,但也是增添木马程序的好场所,用户特别是系统管理员需要特别留意。
7、隐形于启动组中
有时木马并不在乎自己的行踪,它更注意的是能否自动加载到系统中,因为一旦木马加载到系统中,用户很难彻底清除木马,因此修改启动组启动组也是木马常用的手段之一。启动组对应的文件夹为:C:windowsstart menuprogramsstartup,在注册表中的位置:HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion
ExplorerShellFolders Startup="C:windowsstart menuprogramsstartup"。要注意经常检查启动组哦!
8、隐蔽在Winstart.bat中
按照上面的逻辑理论,凡是利于木马能自动加载的地方,木马都会涉足。因此Winstart.bat也是一个能自动被Windows加载运行的文件,它多数情况下为应用程序及Windows自动生成,在执行了Win.com并加载了多数驱动程序之后开始执行(这一点可通过启动时按F8键再选择逐步跟踪启动过程的启动方式可得知)。由于Autoexec.bat的功能可以由Winstart.bat代替完成,因此木马完全可以像在Autoexec.bat中那样被加载运行。
9、捆绑在启动文件中
即应用程序的启动配置文件,控制端利用这些文件能启动程序的特点,将制作好的带有木马启动命令的同名文件上传到服务端覆盖这同名文件,这样就可以达到启动木马的目的了。
10、设置在超级连接中
木马的主人在网页上放置恶意脚本代码,引诱用户点击,更有甚者只要用户打开指定页面就自动下载木马程序到用户机器。像此类脚本代码在安全领域引起了高度重视,但是现在并没有太好的方式来完全阻止它,很多安全厂商也是使用监控的方式来检测并提醒用户注意。因此用户不要轻易打开自己不熟悉的网站,小心中招。
1、绑定应用程序
木马是一个服务器-客户端程序,木马设计者为了不让用户能轻易地把木马程序删除,常常将木马与其他正常程序捆绑在一起。一旦用户激活木马程序,那么木马文件将木马设计者已经设置好的目标应用程序捆绑,然后上传到服务端覆盖原文件,这样即使木马被删除了,只要运行捆绑了木马的应用程序,木马又会被自动安装。例如木马程序被绑定在某一系统关键文件中,那只要系统正常启动调用了这个系统文件,木马程序也就被自动运行。
2、隐藏在配置文件中
用户大多平时使用图形化界面的操作系统,但是很少有用户会去关心配置文件,甚至很多用户会不清楚该如何使用配置文件。有些木马正是利用了配置文件的特殊作用,实现木马在计算机中运行传播,从而偷窥文件或者监视用户电脑使用情况。对于修改系统配置文件的木马有一个致命的缺陷,很容易被监控程序或细心的管理员发现,所以在Autoexec.bat和Config.sys中加载木马程序的情况并不多见,但大家不要忘记前段时间发生的熊猫烧香和AV终结者等病毒给用户造成的影响。
3、潜伏在Win.ini中
木马要想达到控制或者监视计算机的目的,必须要运行,因此木马必须找一个既安全又能在系统启动时自动运行的地方,于是木马利用Win.ini作为栖身的场所。用户不妨打开Win.ini来看看,在它的[windows]字段中有启动命令"load="和"run=",在一般情况下"="后面是空白的,如果有后跟程序,比方说是这个样子:run=c:123.exe load=c:123.exe时用户需要谨慎留意,这个123.exe很可能是木马程序。
4、伪装在普通文件中
此种方法比较流行,对于不熟练的windows操作者,很容易上当。具体方法是把可执行文件伪装成图片或文本----在程序中把图标改成Windows的默认图片图标, 再把文件名改为*.jpg.exe, 由于Win98默认设置是"不显示已知的文件后缀名",文件将会显示为*.jpg, 不注意的人点击这个图标就中木马。
5、内置到注册表中
注册表是操作系统行为的最直接表现,木马开发者当然不会漏掉任何一个可以利用的机会,于是注册表留下了很多木马的身影。注册表由于比较复杂且可以反映系统的具体配置情况,木马常常喜欢在这些地方做文章:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion下所有以"run"开头的键值 ;
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion下所有以"run"开头的键值;
HKEY-USERS.DefaultSoftwareMicrosoftWindowsCurrentVersion下所有以"run"开头的键值。
6、在System.ini中藏身
Windows安装目录下的System.ini也是木马喜欢隐蔽的地方。打开这个文件,在该文件的[boot]字段中,可以看到shell=Explorer.exe 123.exe,如果确实有这样的内容,那你就不幸了,因为这里的123.exe就是木马服务端程序!另外,在System.ini中的[386Enh]字段,要注意检查在此段内的"driver=路径程序名",这里也有可能被木马所利用。再有,在System.ini中的[mic]、[drivers]、[drivers32]这三个字段,这些段也是起到加载驱动程序的作用,但也是增添木马程序的好场所,用户特别是系统管理员需要特别留意。
7、隐形于启动组中
有时木马并不在乎自己的行踪,它更注意的是能否自动加载到系统中,因为一旦木马加载到系统中,用户很难彻底清除木马,因此修改启动组启动组也是木马常用的手段之一。启动组对应的文件夹为:C:windowsstart menuprogramsstartup,在注册表中的位置:HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion
ExplorerShellFolders Startup="C:windowsstart menuprogramsstartup"。要注意经常检查启动组哦!
8、隐蔽在Winstart.bat中
按照上面的逻辑理论,凡是利于木马能自动加载的地方,木马都会涉足。因此Winstart.bat也是一个能自动被Windows加载运行的文件,它多数情况下为应用程序及Windows自动生成,在执行了Win.com并加载了多数驱动程序之后开始执行(这一点可通过启动时按F8键再选择逐步跟踪启动过程的启动方式可得知)。由于Autoexec.bat的功能可以由Winstart.bat代替完成,因此木马完全可以像在Autoexec.bat中那样被加载运行。
9、捆绑在启动文件中
即应用程序的启动配置文件,控制端利用这些文件能启动程序的特点,将制作好的带有木马启动命令的同名文件上传到服务端覆盖这同名文件,这样就可以达到启动木马的目的了。
10、设置在超级连接中
木马的主人在网页上放置恶意脚本代码,引诱用户点击,更有甚者只要用户打开指定页面就自动下载木马程序到用户机器。像此类脚本代码在安全领域引起了高度重视,但是现在并没有太好的方式来完全阻止它,很多安全厂商也是使用监控的方式来检测并提醒用户注意。因此用户不要轻易打开自己不熟悉的网站,小心中招。