文件关联——木马启动技术打开calc.exe

最新推荐文章于 2025-02-24 10:19:20 发布
最新推荐文章于 2025-02-24 10:19:20 发布
阅读量591 收藏
点赞数
文章标签: windows microsoft 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_61043657/article/details/130516186
版权
文章介绍了如何在WindowsXP系统中通过注册表编辑器进行文件关联设置,具体步骤包括新建注册表项、修改默认数值数据以关联特定程序,如将.cjc文件后缀与计算器关联,双击.cjc文件会打开计算器。这种技术也可用于恶意软件的启动,但在更高版本的Windows中可能因安全防护机制而难以实现。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

注册表是操作系统、硬件设备以及客户应用程序得以正常运行和保存设置的核心“数据库”,也可以说是一个非常巨大的树状分层结构的数据库系统。注册表记录了用户安装在计算机上的软件和每个程序的相互关联信息,它包括了计算机的硬件配置,包括自动配置的即插即用的设备和已有的各种设备说明、状态属性以及各种状态信息和数据,通过它可以控制硬件、软件、用户环境和操作系统界面的数据信息文件。
注册表文件的数据信息保存在system.dat和user.dat中、 利用regedit.exe程序能够存取注册表文件(regedt32.exe是一样的)。在运行里键入regedit就可以进注册表编辑器。

实现文件关联

相关表项:HKEY_CLASSES_ROOT/exefile/shell/open/command

记住上述表项,我们需要根据这个结构完成创建相关表项。

实验环境:windows xp系统

1.利用win+r regedit进入win xp系统注册表

在这里插入图片描述

2. 在boot中新建项 .cjc(你可以取你想要的文件后缀名)

在这里插入图片描述
在这里插入图片描述

修改默认编辑数值数据

3. 在boot中创建项cjcfile,在cjcfile中创建两个项,第一个为default用于标记图标;第二个shell用于关联文件实施劫持

在这里插入图片描述
将default中默认项数值数据修改为相关图标路径。图标为iso格式,你可以选择你想改的图标作为你创建格式文件的默认图标!

4.在shell项中创建open项,在open项中创建command项。其中open不需要修改,将command默认值改为关联文件路径名,并在最后加”1%”

在这里插入图片描述

5. 创建新文件,打开系统计算器calc.exe

在桌面创建.cjc后缀文件,双击之后便打开了计算器完成文件关联劫持,此技术可用于木马启动。不建议在较高windows版本中实现,此后加入了很多防护机制。
在这里插入图片描述

[网络安全自学篇] 九十二.Windows黑客编程技术详解》之病毒启动技术创建进程API、突破SESSION0隔离、内存加载详解(3)
杨秀璋的专栏
07-27 2万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。这篇文章将带着大家来学习《Windows黑客编程技术详解》,其作者是甘迪文老师,推荐大家购买来学习。作者将采用实际编程和图文结合的方式进行分享,并且会进一步补充知识点。第三篇文章主要介绍木马病毒启动技术,包括创建进程API、突破SESSION0隔离、内存加载详解,希望对您有所帮助。
[系统安全] 十八.病毒攻防机理及WinRAR恶意劫持漏洞(bat病毒、自启动、定时关机、蓝屏攻击)
杨秀璋的专栏
02-03 7031
作者前文介绍了Windows PE病毒, 包括PE病毒原理、分类及感染方式详解;这篇文章将讲解简单的病毒原理和防御知识,并通过批处理代码和漏洞(CVE-2018-20250)利用让大家感受下病毒攻击的过程,提出了安全相关建议,包括自动启、修改密码、定时关机、蓝屏、进程关闭等功能。 这些基础性知识不仅和系统安全相关,同样与我们身边常用的软件、操作系统紧密联系,希望这些知识对您有所帮助,更希望大家提高安全意识,安全保障任重道远。
calc.exe下载 calc.exe是什么 calc.exe路径位置
03-18
calc.exe下载 博文链接:https://tuzwu.iteye.com/blog/688345
文件关联木马
今天是几号的博客
03-12 353
双击txt文档,计算机用记事本打开txt文件,双击cvs文件,计算机默认使用Excel打开文件。以上txt文档与记事本建立了文件关联。也就是对某种文件类型(区分于文件拓展名)默认打开方式。
Windows7系统文件calc.exe损坏如何修复?
2508_90661607的博客
02-24 644
如果刚好要调用的这个dll文件被损坏或者缺失,那就会造成无法运行的情况发生,至于dll文件缺失的原因那就可能是病毒引起、人为的错误操作、非正常的关机等这三种情况造成的。下载安装完成后,打开软件,然后点击界面左侧的“文件下载”,接着在软件界面右侧文本框中输入我们要下载的文件名,然后点击右边的下载按钮。文件下载完成后,下方列表会有很多个不同版本的文件,这里我们根据自己所需要的版本文件,点击右边的“打开”,这样就找到了下载的文件。将64位文件,放到“C:\Windows\System32”这个文件夹里面。
calc.exe
ProcessInfo的专栏
11-20 1234
  进程知识库 calc - calc.exe - 进程信息进程文件calc 或者 calc.exe进程名称: Microsoft Calculator  描述:calc.exe是微软附件中自带的计算器程序,包括基本和科学计算。 出品者: Microsoft Corp.属于:
用nim语言帮我写一个程序,实现调用windowscalc.exe程序
weixin_35757531的博客
02-15 224
您好!下面是使用Nim语言调用Windowscalc.exe程序的示例代码: import oslet calcPath = "C:\\Windows\\System32\\calc.exe" # calc.exe的路径 if os.exists(calcPath): let process = execProcess(calcPath) # 执行calc.exe waitForP...
calc.exe文件丢失导致程序无法运行问题
2301_76755223的博客
05-06 1193
其实很多用户玩单机游戏或者安装软件的时候就出现过这种问题,如果是新手第一时间会认为是软件或游戏出错了,其实并不是这样,其主要原因就是你电脑系统的该dll文件丢失了或没有安装一些系统软件平台所需要的动态链接库,这时你可以下载这个calc.exe文件(挑选合适的版本文件)把它放入到程序或系统目录中,当我们执行某一个.exe程序时,相应的DLL文件就会被调用,因此将缺失的文件放回到原目录之后就能打开你的软件或游戏了.那么出现calc.exe丢失要怎么解决?
windows客户端开发--windows api大全
一蓑烟雨任平生 也无风雨也无晴
03-20 5987
网络函数 WNetAddConnection 创建同一个网络资源的永久性连接 WNetAddConnection2 创建同一个网络资源的连接 WNetAddConnection3 创建同一个网络资源的连接 WNetCancelConnection 结束一个网络连接 WNetCancelConnection2 结束一个网络连接 WNetCloseEnum 结束一次枚举操作 WNetConn
windows命令提示符cmd常用命令
a2860049的博客
03-28 3200
首先,打开"运行"对话框(Win+R),输入cmd,打开控制台命令窗口... { 也可以通过cmd /c 命令和cmd /k 命令的方式来直接运行命令 注:/c表示执行完命令后关闭cmd窗口;/k表示执行完命令后保留cmd窗口 } # 控制台命令窗口中一些技巧 [1].复制内容:右键弹出快捷菜单,选择“标记(K)”,然后选中所需复制的内容,然后右键即可 ...
Win10 calc.exe 无法打开计算器的解决方法
weixin_30448603的博客
03-04 4329
先将所有程序关闭,以管理员身份运行Windows PowerShell,之后输入以下命令 Get-AppXPackage -AllUsers | Foreach {Add-AppxPackage -DisableDevelopmentMode -Register "$($_.InstallLocation)\AppXManifest.xml"} 原文地址:https://answer...
calc计算器,支持四则运算
02-28
Qt计算器的实现,支持四则运算,四则运算转换成后缀表达式计算,包含括号匹配算法,判断四则计算中是否有括号且是否左右括号成对出现,没有括号或者有成对出现的左右括号则返回值为真,括号不成对出现则返回值为假
不识别calc_解决win10计算器calc.exe程序打不开的方法
weixin_33303595的博客
12-24 6745
在使用Win10系统的过程中,有很多用户有遇到无法打开计算器calc.exe程序的问题,其实这个我们可以通过很多方法来解决,不过当然首先要做的都是要下载一个新的calc.exe应用程序,之后才能继续操作,接下来就和小编一起来看一下具体解决方法吧。希望可以帮助大家。win10系统计算器calc.exe打不开的解决方法:win10系统计算器calc.exe打不开怎么办?下载calc.exe应用程序,直...
Win7系统提示找不到calc.exe文件的解决办法
file
02-23 1151
其实很多用户玩单机游戏或者安装软件的时候就出现过这种问题,如果是新手第一时间会认为是软件或游戏出错了,其实并不是这样,其主要原因就是你电脑系统的该dll文件丢失了或没有安装一些系统软件平台所需要的动态链接库,这时你可以下载这个calc.exe文件(挑选合适的版本文件)把它放入到程序或系统目录中,当我们执行某一个.exe程序时,相应的DLL文件就会被调用,因此将缺失的文件放回到原目录之后就能打开你的软件或游戏了.那么出现calc.exe丢失要怎么解决?
启动应用程序程序calc.exe找不到问题解决
wbcmbfy的博客
06-06 1110
其实很多用户玩单机游戏或者安装软件的时候就出现过这种问题,如果是新手第一时间会认为是软件或游戏出错了,其实并不是这样,其主要原因就是你电脑系统的该dll文件丢失了或没有安装一些系统软件平台所需要的动态链接库,这时你可以下载这个calc.exe文件(挑选合适的版本文件)把它放入到程序或系统目录中,当我们执行某一个.exe程序时,相应的DLL文件就会被调用,因此将缺失的文件放回到原目录之后就能打开你的软件或游戏了.那么出现calc.exe丢失要怎么解决?
Windows7系统calc.exe文件丢失问题
amio555的专栏
12-29 1044
其实很多用户玩单机游戏或者安装软件的时候就出现过这种问题,如果是新手第一时间会认为是软件或游戏出错了,其实并不是这样,其主要原因就是你电脑系统的该dll文件丢失了或没有安装一些系统软件平台所需要的动态链接库,这时你可以下载这个calc.exe文件(挑选合适的版本文件)把它放入到程序或系统目录中,当我们执行某一个.exe程序时,相应的DLL文件就会被调用,因此将缺失的文件放回到原目录之后就能打开你的软件或游戏了.那么出现calc.exe丢失要怎么解决?
EXE文件关联
weixin_34365417的博客
12-13 175
原文2006年10月12日写在MSN SPACE上 计算机中招后有时可能产生EXE文件不能关联,也就是不能执行文件。以下给二个解决方法。 一:运行cmd,执行assoc .exe=exefile,再执行 ftype exefile=%1 %* 二:也可以更改注删表项:但先得把regedit.exe改为regedit.com,然后改: HKEY_CLASSES...
Windows EXE文件关联
chenyujing1234的专栏
05-25 6339
1.什么是文件关联   文件关联,是为了在Windows中实现方便的操作,将某一类数据文件与一个相关的程序建立联系,当用鼠标双击这类数据文件时,Windows操作系统就自动启动关联的程序,打开这个数据文件供操作者处理。例如,通用的ASCII码的文本文件,后缀名为TXT,Windows系统中默认的关联程序就是记事本编辑程序。当我们在Windows文件窗口中双击TXT文件,TXT文件关联的记事本程
使用Winhex工具找到calc.exe文件的节区
最新发布
03-20
### 如何使用 WinHex 工具查看 calc.exe 的 PE 结构及节区分布 WinHex 是一款功能强大的十六进制编辑器,能够用于分析二进制文件的内容。要通过 WinHex 定位 `calc.exe` 文件的节区并查看其 PE 结构,以下是具体的操作说明: #### 打开目标文件 首先,在 WinHex 中打开 `calc.exe` 文件。这可以通过菜单栏中的 **File -> Open** 来完成。 #### 寻找 DOS 头部 (IMAGE_DOS_HEADER) PE 文件通常以 MS-DOS 可执行文件头部开始,即 IMAGE_DOS_HEADER[^1]。此部分位于文件开头,其中最重要的字段之一是 e_lfanew 字段,它指明了 NT 头部的位置。e_lfanew 值通常是偏移量 0x3C 开始的一个双字(DWORD),表示从文件起始到 PE 标志的距离。 ```plaintext // 使用 WinHex 跳转至偏移地址 0x3C 并读取 DWORD 值作为 NT Header 地址。 ``` #### 查看 NT 头部 (IMAGE_NT_HEADERS) 跳转到由 e_lfanew 指定的偏移处,可以看到字符串 "PE\0\0" 表示这是标准的 PE 文件标志。紧随其后的数据结构就是 IMAGE_FILE_HEADER 和其他相关子结构,例如 IMAGE_OPTIONAL_HEADER。 #### 探索节表 (Section Table) NT Headers 后面紧接着的是节表,描述了每个节的名字、大小以及它们在磁盘上的位置和内存映射情况。每一项记录长度固定为 40 字节,包含了虚拟地址(VA)、物理地址(RVA)、原始尺寸(Size of Raw Data),以及其他属性如权限设置等信息[^4]。 为了更直观地观察这些区域的实际布局,可以在 WinHex 中利用查找命令搜索特定签名或已知值来辅助定位各主要组成部分。例如,尝试寻找“.text”这样的常见节名可以帮助快速找到对应的条目及其关联的数据块。 此外,如果需要进一步验证某些计算结果是否正确无误,则可借助 Stud_PE 这样的专用工具来进行交叉核对。 最后值得注意的一点在于实际应用过程中可能会遇到不同版本之间存在细微差异的情况,因此建议始终参照官方文档或是权威资料获取最新最准确的信息[^2]。 ```python # Python 示例脚本展示如何解析 PE 文件的部分基本信息 import pefile pe = pefile.PE("path/to/calc.exe") for section in pe.sections: print(f"{section.Name.decode().rstrip('\\x00')} - Virtual Address: {hex(section.VirtualAddress)} Size Of Raw Data: {section.SizeOfRawData}") ``` 以上代码片段展示了如何用 PyInstaller 库提取 PE 文件内的所有章节名称连同各自虚拟地址与未压缩前尺寸一并打印出来供参考之用。 ---
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值