-------1-----------------
Hkey_current_user/software/microsoft/windows nt/currentversion /windows 建一个字符串名为load键值为自启动程序的路径但是要注意短文件名规则,如c:/program files 应为c:/progra~1
这种方式用优化大师看不到
----------2--------------------
另一个注册表可以加启动项的位置
HKEY_LOCAL_MACHINE/SHOFTWARE/Microsoft/WindowsNT/CurrentVersion/Winlogon 里面的shell建值在Explorer.exe的后面加上我门程序的路径 这样我门的程序就可以随系统启动了。
比如我门的c:/windows/system32/下有个hehe.exe木马。
-------3-------------------------
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Winlogon,找到“Userinit”这个键值,这个键值默认为c:/WINNT/system32/userinit.exe,后面加路径,再加逗号也可以
木马对文件关联的利用
我们知道,在注册表HKEY_LOCAL_MACHINE SoftwareMicrosoftWindowsCurrentVersionRun下可以加载程序,使之开机时自动运行,类似“Run”这样的子键在注册表中还有几处,均以“Run”开头,如RunOnce、RunServices等。除了这种方法,还有一种修改注册表的方法也可以使程序自启动。
具体说来,就是更改文件的打开方式,这样就可以使程序跟随您打开的那种文件类型一起启动。举例来说,打开注册表,展开注册表到HKEY_CLASSES_ROOTexefileshell
opencommand,这里是exe文件的打开方式,默认键值为:“%1”%*。如果把默认键值改为Trojan.exe“%1”%*,您每次运行exe文件,这个Trojan.exe文件就会被执行。木马灰鸽子就采用关联exe文件的打开方式,而大名鼎鼎的木马冰河采用的是也与此相似的一招——关联txt文件。
对付这种隐藏方法,主要是经常检查注册表,看文件的打开方式是否发生了变化。如果发生了变化,就将打开方式改回来。最好能经常备份注册表,发现问题后立即用备份文件恢复注册表,既方便、快捷,又安全、省事。
木马启动方式(二)
最新推荐文章于 2020-01-30 21:39:56 发布