教你认识木马的所有隐藏启动方式
新手,刚入门,肯定经常被病毒和木马入侵。我也有亲身经历。陷入木马后不知所措,经常重装系统。教新手认识木马的自启动,可以帮助新手应对木马。
木马的一个特点就是必须和系统一起启动,否则就完全失去了意义!!!
方法1:检查注册表启动项。
请注意以下注册表项值:
HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Microsoft \ Windows \ CURRENT version \ Run
HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Microsoft \ Windows \ CURRENT version \ Run once
HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Microsoft \ Windows \ CURRENT version \ Run services HKEY _ CURRENT _ USER \ SOFTWARE \ Microsoft \ Windows
\ CURRENT version \ RunHKEY _ CURRENT _ USER \ SOFTWARE \ Microsoft \ Windows \ CURRENT version \ Run once
这里只要有敏感词“跑”,小心)
方法2:使用系统文件。
可以使用的文件有Win.inisystem.iniAutoexec.batConfig.sys系统启动时,上述文件的部分内容可以随系统加载,从而被木马利用。
以文本形式打开C:\Windows下的system.ini文件,我们将看到
其他几个表示文件经常被用来达到启动的目的。
方法3:系统启动组
依次点击“开始”-“程序”-“开始”。
XP:c:\ documents and settings \ gillispie \[开始]菜单\程序\开始
win98: c: \ windows \开始菜单\程序\开始
对应的注册表项:
HKEY _当前用户\软件\微软\ windows \当前版本\资源管理器\外壳文件夹
方法4:使用文件关联:
例如,在正常情况下,打开txt文件的方式是Notepad.exe文件。如果抓到文件相关的木马,用这种方式打开txt文件,本来应该用记事本打开文件,现在却变成了启动木马程序。
有两种方法可以解决文件关联问题:
①修改注册表:
如果木马是关联的EXE文件:
找到键值:
HKEY _类_根\ EXEFILE \ shell \ open \ command
HKEY _本地_机器\软件\类\ EXEFILE。
②进入控制面板,选择文件夹选项-文件类型
,然后点击“高级”,在弹出菜单中选择“应用程序”。
方法5:使用服务加载。
为了系统的正常运行,有些服务是必不可少的。有些木马可以通过加载服务
控制面板-管理工具-服务,或者使用net start服务名(start service)和net stop服务名(close service)
来启动系统
0条评论