一、修改批處理 很古老的方法,但仍有人使用。一般透過修改下列三個文件來作案: Autoexec.bat(自動批處理,在引導系統時執行) Winstart.bat(在啟動GUI圖形介面環境時執行) Dosstart.bat(在進入MS-DOS方式時執行) 例如:編輯C:\windows\Dosstart.bat,加入:start Notepad,當你進入“MS-DOS方式”時,就可以看到記事本被啟動了。 二、修改系統配置 常使用的方法,透過修改系統配置文件System.ini、Win.ini來達到自動運行的目的,涉及範圍有: 在Win.ini文件中: [windows] load=程式名 run=程式名 在System.ini文件中: [boot] shell=Explorer.exe 其中修改System.ini中Shell值的情況要多一些,病毒木馬透過修改這裏使自己成為Shell,然後加載Explorer.exe,從而達到控制用戶電腦的目的。三、借助自動運行功能 其實硬碟也支援自動運行,你可嘗試在D碟根目錄下新建一個Autorun.inf,用記事本打開它,輸入如下內容: [autorun] open=Notepad.exe 保存後進入“我的電腦”,按F5鍵刷新一下,然後連續按兩下D碟符號,怎麼樣?記事本打開了,而D碟卻沒有打開。 當然,以上只是一個簡單的實例,駭客做得要精密很多,他們會把程式改名為“ .exe”(不是空格,而是中文的全形空格,這樣在Autorun.inf中只會看到“open= ”而被忽略,此種行徑在修改系統配置時也常使用,如“run= ”;為了更好地隱藏自己,其程式運行後,還會替你打開硬碟,讓你難以查覺。 由此可以推想,如果你打開了D碟的共享,駭客就可以將木馬和一個Autorun.inf存入該分區,當Windows自動刷新時,你也就“中獎”了,因此,大家千萬不要共享任何根目錄,當然更不能共享系統分區(一般為C:)。 四、透過註冊表中的Run來啟動 很老套的方法,但80%的駭客仍在使用,透過在Run、RunOnce、RunOnceEx、RunServices、RunServicesOnce中添加鍵值,可以比較容易地實現程式的加載,駭客尤其方便在帶”Once”的機碼中作手腳,因此帶“Once”的機碼中的鍵值,在程式運行後將被刪除,因此當用戶使用註冊表修改程式查看時,不會發現異樣。另外,還有這樣的程式:在啟動時刪除Run中的鍵值,而在退出時(或關閉系統時)又添加鍵值,達到隱蔽自己的目的。(這種方法的缺點是:害怕惡意關機或停電,呵呵!) 五、透過文件關聯啟動 很受駭客喜愛的方式,透過EXE文件的關聯(機碼為:exefile),讓系統在執行任何程式之前都運行木馬,真的好毒!通常修改的還有txtfile(文本文件的關聯,誰不用用記事本呢?)、regfile(註冊表文件關聯,一般用來防止用戶恢復註冊表,例如讓用戶連續按兩下.reg文件就關閉電腦)、unkown(未知文件關聯)。為了防止用戶恢復註冊表,用此法的駭客通常還連帶謀殺scanreg.exe、sfc.exe、Extrac32.exe、regedit.exe等程式,阻礙用戶修復。六、透過API HOOK啟動 這種方法較為高級,透過替換系統的DLL文件,讓系統啟動指定的程式。例如:撥號上網的用戶必須使用Rasapi32.dll中的API函數來進行連接,那麼駭客就會替換這個DLL,當用戶的應用程式調用這個API函數,駭客的程式就會先啟動,然後調用真正的函數完成這個功能(特別提示:木馬可不一定是EXE,還可以是DLL、VXD),這樣既方便又隱蔽(不上網時根本不運行)。中此絕毒的蟲子,只有兩種選擇:Ghost或重裝系統,幸好此毒廖廖無幾,實屬萬蟲之幸! API的英文全稱為:Application Programming Interface,也就是應用程式程式設計聯接。在Windows程式設計領域發展初期,Windows程式員所能使用的程式設計工具唯有API函數,這些函數是Windows提供給應用程式與作業系統的聯接,他們猶如“積木塊”一樣,可以搭建出各種介面豐富,功能靈活的應用程式。所以可以認為API函數是構築整個Windows框架的基石,在它的下面是Windows的作業系統核心,而它的上面則是所有華麗的Windows應用程式。 七、透過VXD啟動 此法也是高手專用版,透過把木馬寫成VXD形式加載,直接控制系統底層,極為罕見。它們一般在註冊表[HKEY_ LOCAL_MACHINE\System\CurrentControlSet\Services\VxD]機碼中啟動,很難發覺,解決方法最好也是用Ghost恢復或重新干淨裝設。 八、透過瀏覽網頁啟動 透過此種途徑有兩種方法: 利用MIME漏洞:這是2001年駭客中最流行的手法,因為它簡單有效,加上寬帶網的流行,令用戶防不勝防,想一想,僅僅是滑鼠變一下“沙漏”,木馬就裝設妥當,Internet真是太“方便”了!不過今年有所減少,一方面許多人都改用IE6.0;另一方面,大部分個人主頁空間都不允許上傳.eml文件了。 MIME被稱為多用途Internet郵件擴展(Multipurpose Internet Mail Extensions),是一種技術規範,原用於電子郵件,現在也可以用於瀏覽器。MIME對郵件系統的擴展是巨大的,在它出現前,郵件內容如果包含聲音和動畫,就必須把它變為ASCII碼或把二進制的資訊變成可以傳送的編碼標準,而接收方必須經過解碼才可以獲得聲音和圖畫資訊。MIME提供了一種可以在郵件中附加多種不同編碼文件的方法,這與原來的郵件是大大不同的。而現在MIME已經成為了HTTP協議標準的一個部分。九、利用Java applet 劃時代的Java更高效、更方便--不過是悄悄地修改你的註冊表,讓你千百次地訪問黃(黑)色網站,讓你關不了機,讓你……,還可以讓你中木馬。這種方法其實很簡單,先利用HTML把木馬下載到你的緩存中,然後修改註冊表,指向其程式。 十、利用系統自動運行的程式 這一條主要利用用戶的麻痹大意和系統的運行機制進行,命中率很高。在系統運行過程中,有許多程式是自動運行的,比如:磁碟空間滿時,系統自動運行“磁碟清理”程式(cleanmgr.exe);啟動檔案總管失敗時,連續按兩下桌面將自動運行“任務管理器”程式(Taskman.exe);格式化磁碟完成後,系統將提示使用“磁碟掃描”程式(scandskw.exe);點選幫助或按F1時,系統將運行Winhelp.exe或Hh.exe打開幫助文件;啟動時,系統將自動啟動“系統欄”程式(SysTray.exe)、“輸入法”程式(internat.exe)、“註冊表檢查” 程式(scanregw.exe)、“計劃任務”程式(Mstask.exe)、“電源管理”程式等。 這為惡意程式提供了機會,透過覆蓋這些文件,不必修改任何設定系統就會自動執行它們!而用戶在檢查註冊表和系統配置時不會引起任何懷疑,例如“註冊表檢查” 程式的作用是啟動時檢查和備份註冊表,正常情況不會有任何提示,那麼它被覆蓋後真可謂是“神不知、鬼不覺”。當然,這也許會被“系統文件檢查器”檢查(但勤快的人不多)出來。 駭客還有一高招“偷天換日”!不覆蓋程式也可達到這個目的,方法是:利用System目錄比Windows目錄優先的特點,以相同的檔案名稱,將程式放到System目錄中。你可以試試,將Notepad.exe(記事本)復制到System目錄中,並改名為Regedit.exe(註冊表編輯器),然後從“開始”→“運行”中,輸入“Regedit”回車,你會發現運行的竟然是那個假冒的Notepad.exe!同樣,如果駭客將程式放到System中,然後在運行時調用真正的Regedit,誰知道呢?(這種方法由於大部分目標程式不是經常被系統調用,因此常被駭客用來作為被刪除後的恢復方法,如果某個東東被刪除了又出現,不妨檢查檢查這些文件。) 十一、還有什麼“高招” 駭客還常常使用名字欺騙技術和運行假象與之配合。名字欺騙技術如上述的全形空格主檔案名稱“ .exe”就是一例,另外常見的有在修改文件關聯時,使用“ ”(ASCII值255,輸入時先按下Alt鍵,然後在小鍵盤上輸入255)作為檔案名稱,當這個字元出現在註冊表中時,人們往往很難發現它的存在。此外還有利用字元相似性的,如:“Systray.exe”和“5ystray”(5與大寫S相似);長度相似性的,如:“Explorer.exe”和“Explore.exe”(後者比前者少一個字母,心理學實驗證明,人的第一感覺只識別前四個字母,並對長度不敏感);運行假象則是指運行某些木馬時,程式給出一個虛假的提示來欺騙用戶。一個運行後什麼都沒有的程式,地球人都知道不是什麼好東西;但對於一個提示“記憶體不足的程式,恐怕還在埋怨自己的記憶體太少哩!
文章定位:
