計算機安全之認清木馬的原理(3)

服務端用戶運行木馬或捆綁木馬的程序后，木馬就會自動進行安裝。首先將自身拷貝到WINDOWS的系統(tǒng)文件夾中C:\WINDOWS或C:\WINDOWS\SYSTEM目錄下。然后在注冊表、啟動組、非啟動組中設(shè)置好木馬的觸發(fā)條件，這樣木馬的安裝就完成了。安裝后就可以啟動木馬了。

由觸發(fā)條件激活木馬

觸發(fā)條件是指啟動木馬的條件，大致出現(xiàn)在下面八個地方：

注冊表

打開HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\下的五個以Run和Run Services主鍵，在其中尋找可能是啟動木馬的鍵值。

WIN.INI

C:\WINDOWS目錄下有一個配置文件win.ini，用文本方式打開，在windows字段中有啟動命令load=和run=，在一般情況下是空白的，如果有啟動程序，可能是木馬。

SYSTEM.INI

C:\WINDOWS目錄下有個配置文件system.ini，用文本方式打開，在386Enh、mic、drivers32中有命令行，在其中尋找木馬的啟動命令。

Autoexec.bat和Config.sys

在C盤根目錄下的這兩個文件也可以啟動木馬。但這種加載方式一般都需要控制端用戶與服務端建立連接后，將已添加木馬啟動命令的同名文件上傳到服務端覆蓋這兩個文件才行。

*.INI

即應用程序的啟動配置文件，控制端利用這些文件能啟動程序的特點，將制作好的帶有木馬啟動命令的同名文件上傳到服務端覆蓋這同名文件，這樣就可以達到啟動木馬的目的了。

注冊表

打開HKEY_CLASSES_ROOT\文件類型\shell\open\command主鍵，查看其鍵值。舉個例子，國產(chǎn)木馬“冰河”就是修改HKEY_CLASSES_ROOT\txtfile\shell\open\command下的鍵值，將“C:\WINDOWS\NOTEPAD.EXE％1”改為“C:\WINDOWS\SYSTEM\SYSEXPLR.EXE％1”，這時你雙擊一個TXT文件后，原本應用NOTEPAD打開文件的，現(xiàn)在卻變成啟動木馬程序了。還要說明的是不光是TXT文件，通過修改HTML、EXE、ZIP等文件的啟動命令的鍵值都可以啟動木馬，不同之處只在于“文件類型”這個主鍵的差別，TXT是txtfile，ZIP是WINZIP，大家可以試著去找一下。

捆綁文件

實現(xiàn)這種觸發(fā)條件首先要控制端和服務端通過木馬建立連接，然后控制端用戶用工具軟件將木馬文件和某一應用程序捆綁在一起，然后上傳到服務端覆蓋原文件，這樣即使木馬被刪除了，只要運行捆綁了木馬的應用程序，木馬又會被安裝上去了。

啟動菜單

在“開始—程序—啟動”選項下也可能有木馬的觸發(fā)條件。

木馬的原理就為大家介紹完了，希望大家愛通過以上的內(nèi)容能夠清楚的認識了木馬，同時我們還應該多多學習防范木馬的知識，以防止遭到攻擊。

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]