当前位置: 首页 > 图文教程 > 网络安全 > 杀毒防毒 > 揪出系统中秘密隐藏的木马

杀毒防毒
U盘(auto病毒)类病毒分析与解决方案
解析魔兽木马Trojan-PSW.Win32.WOW
绕过主动防御 木马病毒刺穿卡巴斯基
总结经典:木马十大藏身地点大搜查
手动清除 chcp.exe病毒 保护 MSN的安全
卡巴斯基KIS 7.0防火墙设置完全攻略
百毒不侵 如何以不变应万变预防病毒
病毒日新月异 六大反病毒技术亟待成熟
守住你的网站 防御DDoS攻击实用指南
提高诺顿杀毒软件速度的五则技巧
安全升级 新版迅雷杀毒方案之详解
病毒非电脑的专利 常见手机病毒分析
卡巴斯基8.0主要特性介绍(附激活码)
几大常见的手机杀毒软件试用横评
三种2008版杀毒软件七大主流功能横评
检测硬盘与内存中病毒痕迹的四种绝招
优化XP使卡巴斯基7.0单机版运行流畅
上网不再怕中毒 教你一招克死所有病毒
“色情终结者”病毒专删PC内色情电影
精心设置卡巴斯基 加快杀毒速度

杀毒防毒 中的 揪出系统中秘密隐藏的木马


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 36 ::
收藏到网摘: n/a

 

    木马为了生存会想尽办法隐藏自己,早期的木马通常会采用以下方式来实现自启动,比方说通过“开始”菜单的“启动”项来加载自己,通过注册表的有关项目来启动木马,还有的木马会注册为系统服务来迷惑我们。不过,除此之外木马还有多种隐藏自己的方法,所以我们绝不能掉以轻心。知己知彼,方能百战不殆,下面我们就谈谈这些鲜为人知的木马隐藏方法。

    “组策略”中的木马

    通过“组策略”来加载木马非常隐蔽,不易为人所发现。具体方法是:点击“开始”菜单中的“运行”,输入“Gpedit.msc”并回车,这样就可以打开“组策略”,在“本地计算机策略”中顺次点击“用户配置→管理模板→系统→登录”(图1),然后双击“在用户登录时运行这些程序”子项,出现如图所示对话框(图2),在这里进行属性设置,选定“设置”中的“已启用”,接下来单击“显示”按钮,会弹出“显示内容”窗口(图3),再单击“添加”按钮,出现“添加项目”窗口(图4),在其中的文本框中输入要自动运行的文件所在的路径,最后单击“确定”按钮,然后重新启动计算机就可以了,系统在登录时会自动启动我们添加的程序。注意:如果自启动的文件不是位于%Systemroot%目录中,则必须指定文件的完整路径。

    如果我们刚才在“组策略”中添加的是木马,就会诞生一个“隐形”的木马!这是因为在“系统配置实用程序”Msconfig中你是无法发现该木马的,在大家周知的注册表项如HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run项和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项你也无法找到相应的键值,所以这种加载木马的方式还是非常隐蔽的,对普通用户来说威胁也更大一些

    难道这种加载木马的启动方式就那么无懈可击吗?当然不是!其实,通过这种方式添加的自启动程序依然被记录在注册表中,只不过不是在我们所熟悉的那些注册表项下,而是在在注册表的HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run项中。所以,如果你怀疑电脑中可能有木马,却找不到它躲在哪儿,那就到上述注册表项目或者组策略选项中看看,也许你会有所发现!


    暗藏杀机的注册表项

    利用注册表项加载木马一直是木马的最爱,我们也很熟悉它们的这种手段了,不过有一种新的利用注册表来隐藏木马的方法您可能还不知道,具体方法是:点击“开始”菜单中的“运行”,输入Regedit回车,打开注册表编辑器。展开注册表到HKEY_CURRENT_USER\Software\Microsoft\Win dowsNT\CurrentVersion\Windows项,新建一个字符串值,命名为“load”,把它的键值改为自启动程序的路径即可。注意:要使用文件的短文件名,即“C:\Program Files”应该写为“C:\Progra~1”,且自启动程序的后面不能带有任何参数。另外要提醒大家注意的是,如果改为在注册表的HKEY_USERS\用户ID号\Software\Microsoft\Windows NT\CurrentVersion\Windows项加载,则本方法对其他用户也有效,否则换个用户名登陆就不管用了。

    建议大家以后检查木马及病毒程序时也要注意这里,免得被人有机可乘。另外,这个方法只对Windows 2000/XP/2003有效,使用Windows 9x的用户不用担心。

    利用AutoRun.inf加载木马

    经常使用光盘的朋友都知道,某些光盘放入光驱后会自动运行,这种功能的实现主要靠两个文件,一个是系统文件之一的Cdvsd.vxd,一是光盘上的AutoRun.inf文件。Cdvsd.vxd会随时侦测光驱中是否有放入光盘的动作,如果有的话,便开始寻找光盘根目录下的AutoRun.inf文件。如果存在AutoRun.inf文件则执行它里面的预设程序。

    这个貌似神奇的功能其实很简单,不仅能应用于光盘中,同样也可以应用于硬盘中(要注意的是AutoRun.inf必须存放在磁盘根目录下才能起作用)。让我们一起看看AutoRun.inf文件的内容吧。打开记事本,新建一个文件,将其命名为AutoRun.inf,在AutoRun.inf中键入以下内容:

    [AutoRun]

    Icon=C:\Windows\System\Shell32.DLL,21

    Open=C:\Program Files\ACDSee\ACDSee.exe

    解释一下:一个标准的AutoRun文件必须以[AutoRun]开头,第二行Icon=C:\Windows\System\Shell32.DLL,21用来给硬盘或光盘设定一个图标。Shell32.DLL是Windows系统文件,里面包含了很多Windows的系统图标。数字21表示显示编号为21的图标;第三行Open=C:\Program Files\ACDSee\ACDSee.exe指出要运行程序的路径及其文件名。

    如果把Open行换为木马文件,并将这个AutoRun.inf文件设置为隐藏属性(不易被发现),则点击硬盘就会启动木马!反过来讲,这倒的确是一种很不错的程序自启动方式。

    为防止遭到这样的