当前位置: 首页 > 图文教程 > 网络安全 > 杀毒防毒 > 揪出系统中秘密隐藏的木马

杀毒防毒
大蜘蛛杀毒软件是如何扫描系统病毒
完全卸载大蜘蛛杀毒软件的操作方法
如何安装Dr.Web(大蜘蛛杀毒软件)
俄罗斯国防部颁发给Dr.Web大蜘蛛杀毒软件的证书
大蜘蛛杀毒软件隔离区路径设置技巧
大蜘蛛杀毒软件无法启动怎么办?
ESET NOD32防病毒软件取消收发邮件扫描功能
大蜘蛛杀毒软件扫描系统病毒三种方式
Dr.Web无法启动,我们应该怎么办呢?
虚拟机下恢复杀毒软件隔离区的文件
诺顿网络安全特警软件防护功能设置技巧
Kernel32.exe特洛伊木马清除一例
ESET NOD32安全套装非常强大的移动磁盘防护功能
国外媒体:Avira(小红伞)发现Win7漏洞
2009年度中国互联网电脑病毒疫情报告
金山网盾的核心技术:如何实现成功拦截挂马网页
免费PK收费:免费版360杀毒非未逊色
ESET NOD32软件防U盘病毒的设置技巧
卡巴斯基发布2010年网络威胁6项预测
德国小红伞系列防病毒软件Avira V10 Beta

杀毒防毒 中的 揪出系统中秘密隐藏的木马


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 35 ::
收藏到网摘: n/a

 

    木马为了生存会想尽办法隐藏自己,早期的木马通常会采用以下方式来实现自启动,比方说通过“开始”菜单的“启动”项来加载自己,通过注册表的有关项目来启动木马,还有的木马会注册为系统服务来迷惑我们。不过,除此之外木马还有多种隐藏自己的方法,所以我们绝不能掉以轻心。知己知彼,方能百战不殆,下面我们就谈谈这些鲜为人知的木马隐藏方法。

    “组策略”中的木马

    通过“组策略”来加载木马非常隐蔽,不易为人所发现。具体方法是:点击“开始”菜单中的“运行”,输入“Gpedit.msc”并回车,这样就可以打开“组策略”,在“本地计算机策略”中顺次点击“用户配置→管理模板→系统→登录”(图1),然后双击“在用户登录时运行这些程序”子项,出现如图所示对话框(图2),在这里进行属性设置,选定“设置”中的“已启用”,接下来单击“显示”按钮,会弹出“显示内容”窗口(图3),再单击“添加”按钮,出现“添加项目”窗口(图4),在其中的文本框中输入要自动运行的文件所在的路径,最后单击“确定”按钮,然后重新启动计算机就可以了,系统在登录时会自动启动我们添加的程序。注意:如果自启动的文件不是位于%Systemroot%目录中,则必须指定文件的完整路径。

    如果我们刚才在“组策略”中添加的是木马,就会诞生一个“隐形”的木马!这是因为在“系统配置实用程序”Msconfig中你是无法发现该木马的,在大家周知的注册表项如HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run项和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项你也无法找到相应的键值,所以这种加载木马的方式还是非常隐蔽的,对普通用户来说威胁也更大一些

    难道这种加载木马的启动方式就那么无懈可击吗?当然不是!其实,通过这种方式添加的自启动程序依然被记录在注册表中,只不过不是在我们所熟悉的那些注册表项下,而是在在注册表的HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run项中。所以,如果你怀疑电脑中可能有木马,却找不到它躲在哪儿,那就到上述注册表项目或者组策略选项中看看,也许你会有所发现!


    暗藏杀机的注册表项

    利用注册表项加载木马一直是木马的最爱,我们也很熟悉它们的这种手段了,不过有一种新的利用注册表来隐藏木马的方法您可能还不知道,具体方法是:点击“开始”菜单中的“运行”,输入Regedit回车,打开注册表编辑器。展开注册表到HKEY_CURRENT_USER\Software\Microsoft\Win dowsNT\CurrentVersion\Windows项,新建一个字符串值,命名为“load”,把它的键值改为自启动程序的路径即可。注意:要使用文件的短文件名,即“C:\Program Files”应该写为“C:\Progra~1”,且自启动程序的后面不能带有任何参数。另外要提醒大家注意的是,如果改为在注册表的HKEY_USERS\用户ID号\Software\Microsoft\Windows NT\CurrentVersion\Windows项加载,则本方法对其他用户也有效,否则换个用户名登陆就不管用了。

    建议大家以后检查木马及病毒程序时也要注意这里,免得被人有机可乘。另外,这个方法只对Windows 2000/XP/2003有效,使用Windows 9x的用户不用担心。

    利用AutoRun.inf加载木马

    经常使用光盘的朋友都知道,某些光盘放入光驱后会自动运行,这种功能的实现主要靠两个文件,一个是系统文件之一的Cdvsd.vxd,一是光盘上的AutoRun.inf文件。Cdvsd.vxd会随时侦测光驱中是否有放入光盘的动作,如果有的话,便开始寻找光盘根目录下的AutoRun.inf文件。如果存在AutoRun.inf文件则执行它里面的预设程序。

    这个貌似神奇的功能其实很简单,不仅能应用于光盘中,同样也可以应用于硬盘中(要注意的是AutoRun.inf必须存放在磁盘根目录下才能起作用)。让我们一起看看AutoRun.inf文件的内容吧。打开记事本,新建一个文件,将其命名为AutoRun.inf,在AutoRun.inf中键入以下内容:

    [AutoRun]

    Icon=C:\Windows\System\Shell32.DLL,21

    Open=C:\Program Files\ACDSee\ACDSee.exe

    解释一下:一个标准的AutoRun文件必须以[AutoRun]开头,第二行Icon=C:\Windows\System\Shell32.DLL,21用来给硬盘或光盘设定一个图标。Shell32.DLL是Windows系统文件,里面包含了很多Windows的系统图标。数字21表示显示编号为21的图标;第三行Open=C:\Program Files\ACDSee\ACDSee.exe指出要运行程序的路径及其文件名。

    如果把Open行换为木马文件,并将这个AutoRun.inf文件设置为隐藏属性(不易被发现),则点击硬盘就会启动木马!反过来讲,这倒的确是一种很不错的程序自启动方式。

    为防止遭到这样的