摆渡木马论文

最新推荐文章于 2022-09-29 10:41:47 发布
最新推荐文章于 2022-09-29 10:41:47 发布
阅读量1.1k 收藏 2
点赞数
分类专栏: 论文

嗷嗷嗷,要开始写准备论文了 要开题了!自己先看些内容再找老师商量吧

先查资料

Windows 启动方式总结归纳&病毒常修改的注册表位置

一.自启动项目:
开始---程序---启动,里面添加一些应用程序或者快捷方式.
这是Windows 里面最常见,以及应用最简单的启动方式,如果想一些文件开机时候启动,那么也可以将他拖入里面或者建立快捷方式拖入里面.现在一般的病毒不会采取这样的启动手法.也有个别会.
路径:C:\Documents and Settings\Owner\「开始」菜单\程序\启动

二. 第二自启动项目:
这个是很明显却被人们所忽略的一个,使用方法和第一自启动目录是完全一样的, 只要找到该目录,将所需要启动的文件拖放进去就可以达到启动的目的.
路径:C:\Documents and Settings\User\「开始」菜单\程序\启动

三. 系统配置文件启动:
对于系统配置文件,许多人一定很陌生,许多病毒都是以这种方式启动.

1)WIN.INI启动:
启动位置(*.exe为要启动的文件名称):
  [windows] 
  load=*.exe[这种方法文件会在后台运行]
run=*.exe[这种方法文件会在默认状态下被运行]

2)SYSTEM.INI启动:
启动位置(*.exe为要启动的文件名称): 
  默认为:
  [boot] 
  Shell=Explorer.exe [Explorer.exe是Windows程序管理器或者Windows资源管理器,属于正常]
  可启动文件后为:
  [boot] 
  Shell= Explorer.exe *.exe [现在许多病毒会采用此启动方式,随着Explorer启动, 隐蔽性很好]
注意: SYSTEM.INI和WIN.INI文件不同,SYSTEM.INI的启动只能启动一个指定文件,不要把Shell=Explorer.exe *.exe换为Shell=*.exe,这样会使Windows瘫痪!

3) WININIT.INI启动:
WinInit即为Windows Setup Initialization Utility, 中文:Windows安装初始化工具.
它会在系统装载Windows之前让系统执行一些命令,包括复制,删除,重命名等,以完成更新文件的目的.
文件格式: 
  [rename] 
  *=*2 
  意思是把*2文件复制为文件名为*1的文件,相当于覆盖*1文件
如果要把某文件删除,则可以用以下命令:
[rename] 
  nul=*2
以上文件名都必须包含完整路径.

4) WINSTART.BAT启动:     
这是系统启动的批处理文件,主要用来复制和删除文件.如一些软件卸载后会剩余一些残留物在系统,这时它的作用就来了.
    如: 
  “@if exist C:\WINDOWS\TEMP*.BAT call C:\WINDOWS\TEMP*.BAT”
    这里是执行*.BAT文件的意思

5) USERINIT.INI启动[2/2补充]:
这种启动方式也会被一些病毒作为启动方式,与SYSTEM.INI相同.

6) AUTOEXEC.BAT启动:
这个是常用的启动方式.病毒会通过它来做一些动作. 在AUTOEXEC.BAT文件中会包含有恶意代码。如format c: /y 等等其它.

四. 注册表启动:(2006.10.3整理更新
通过注册表来启动,是WINDOWS中使用最频繁的一种.
----------------------------------------------------------------------------------------------------------------- 
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
HKLM\SYSTEM\ControlSet001\Control\Session Manager\BootExecute
HKCU\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\User\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce\
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup\
HKU\.Default\Software\Microsoft\Windows\CurrentVersion\Run\
HKU\.Default\Software\Microsoft\Windows\CurrentVersion\RunOnce\
HKLM\System\CurrentControlSet\Services\VxD\
HKCU\Control Panel\Desktop
HKLM\System\CurrentControlSet\Services\
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\run
HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\load
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\run\
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\run\
HKLM\SOFTWARE\Classes\Protocols\Filter
HKLM\SOFTWARE\Classes\Protocols\Handler
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
HKLM\Software\Classes\Folder\Shellex\ColumnHandlers
HKCU\Software\Microsoft\Internet Explorer\UrlSearchHooks
HKLM\Software\Microsoft\Internet Explorer\Toolbar
HKLM\Software\Microsoft\Internet Explorer\Extensions
HKLM\System\CurrentControlSet\Control\Session Manager\BootExecute
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UIHost
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors
HKLM\SYSTEM\CurrentControlSet\Control\MPRServices
HKCU\ftp\shell\open\command
HKCR\ftp\shell\open\command
HKCU\Software\Microsoft\ole
HKCU\Software\Microsoft\Command Processor
HKLM\SOFTWARE\Classes\mailto\shell\open\command
HKCR\PROTOCOLS
HKCU\Control Panel\Desktop
HKLM\SOFTWARE\Policies\Microsoft\Windows\System\Scripts
HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units
HKLM\SYSTEM\CurrentControlSet\Services\WinSock2
HKLM\SYSTEM\CurrentControlSet\Services\WinSock
HKLM\SYSTEM\CurrentControlSet\Control\Lsa
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
HKLM\Software\Microsoft\Windows\CurrentVersion\explorer\Shell folders\Startup
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\runServices
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
HKLM\System\CurrentControlSet\Control\Session Manager\KnownDlls
HKLM\SOFTWARE\Classes\Protocols\Handler
HKLM\System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\StartupPrograms
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKLM\Software\Microsoft\Command Processor
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Accessibility\Utility Manager registry
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders

添加一些病毒经常会修改的地方[07.1.17]:
HKLM\SOFTWARE\Microsoft\Ras
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Network
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform
HKCU\Software\Microsoft\Security Center
HKLM\Software\Microsoft\Security Center
HKLM\SOFTWARE\Microsoft\Netcache
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt
HKCU\Software\Microsoft\Internet explorer\Main\\*page
HKCU\Software\Microsoft\Internet explorer\Main\\Enable Browser Extensions
HKCU\Software\Microsoft\Internet explorer\Main\Featurecontrol
HKCU\Software\Microsoft\Internet explorer\Menuext
HKCU\Software\Microsoft\Internet explorer\Styles
HKLM\Software\Clients\Startmenuinternet
HKLM\Software\Microsoft\Code store database\Distribution units
HKCU\Software\Microsoft\Internet explorer\Abouturls
HKLM\Software\Microsoft\Internet explorer\Activex compatibility
HKCU\Software\Microsoft\Internet Explorer\Explorer Bars
HKLM\Software\Microsoft\Internet explorer\Main\\*page
HKLM\Software\Microsoft\Internet explorer\Styles
HKLM\Software\Microsoft\Internet explorer\Menuext
HKLM\Software\Microsoft\Internet explorer\Plugins
HKLM\Software\Microsoft\Windows\Currentversion\Explorer\Browser helpr objects
HKLM\Software\Microsoft\Windows\Currentversion\Internet settings\*zones
HKLM\Software\Microsoft\Windows\Currentversion\Internet settings\Safesites
HKLM\Software\Microsoft\Windows\Currentversion\Internet settings\Url
HKLM\Software\Microsoft\Windows\Currentversion\Internet settings\Zonemap\Protocoldefaults
HKLM\Software\Microsoft\Windows\Currentversion\Internet settings\Zonemap\Domains
HKLM\Software\Microsoft\Windows\Currentversion\Internet settings\Zonemap\Ranges
HKCU\Software\Policies\Microsoft\Internet Explorer\Control panel\homepage
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
HKLM\System\CurrentControlSet\Control\ServiceGroupOrder
HKLM\SYSTEM\CurrentControlSet\Control\GroupOrderList
HKLM\SYSTEM\ControlSet*\Control\SafeBoot 
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot 


五.其他启动方式:
(1).C:\Explorer.exe启动方式:
这种启动方式很少人知道.
在Win9X下,由于SYSTEM.INI只指定了Windows的外壳文件Explorer.exe的名称,而并没有指定绝对路径,所以Win9X会搜索Explorer.exe文件.
  搜索顺序如下: 
  (1).  搜索当前目录. 
  (2).  如果没有搜索到Explorer.exe则系统会获取 
  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Executive\Path]的信息获得相对路径.
  (3).  如果还是没有文件系统则会获取[HKEY_CURRENT_USER\Environment\Path]的信息获得相对路径.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Executive\Path]和[HKEY_CURRENT_USER\Environment\Path]所保存的相对路径的键值为:“%SystemRoot%System32;%SystemRoot%”和空.
所以,由于当系统启动时,“当前目录”肯定是%SystemDrive%(系统驱动器),这样系统搜索Explorer.EXE的顺序应该是: 
  (1).  %SystemDrive%(例如C:\) 
  (2).  %SystemRoot%System32(例如C:\WINNT\SYSTEM32) 
  (3).  %SystemRoot%(例如C:\WINNT)
此时,如果把一个名为Explorer.EXE的文件放到系统根目录下,这样在每次启动的时候系统就会自动先启动根目录下的Explorer.exe而不启动Windows目录下的Explorer.exe了. 
  在WinNT系列下,WindowsNT/Windows2000更加注意了Explorer.exe的文件名放置的位置,把系统启动时要使用的外壳文件(Explorer.exe)的名称放到了: 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Shell] 而在Windows 2000 SP2中微软已经更改了这一方式.

(2).屏幕保护启动方式:
Windows 屏幕保护程序是一个*.scr文件,是一个可执行PE文件,如果把屏幕保护程序*.scr重命名为*.exe的文件,这个程序仍然可以正常启动,类似的*.exe文件更名为*.scr文件也仍然可以正常启动.
文件路径保存在System.ini中的SCRNSAVE.EXE=的这条中.如: SCANSAVE.EXE=/%system32% *.scr
这种启动方式具有一定危险.

(3).计划任务启动方式:
Windows 的计划任务功能是指某个程序在某个特指时间启动.这种启动方式隐蔽性相当不错.
[开始]---[程序]---[附件]---[系统工具]---[计划任务],按照一步步顺序操作即可.

(4).AutoRun.inf的启动方式:
Autorun.inf这个文件出现于光盘加载的时候,放入光盘时,光驱会根据这个文件内容来确定是否打开光盘里面的内容.
Autorun.inf的内容通常是: 
  [AUTORUN] 
  OPEN=*.exe 
  ICON=icon(图标文件).ico 
1.如一个木马,为*.exe.那么Autorun.inf则可以如下:
OPEN=Windows\*.exe 
ICON=*.exe 
这时,每次双击C盘的时候就可以运行*.exe.

2.如把Autorun.inf放入C盘根目录里,则里面内容为:
OPEN=D:\*.exe 
ICON=*.exe 
这时,双击C盘则可以运行D盘的*.exe

(5).更改扩展名启动方式:
更改扩展名:(*.exe)
如:*.exe的文件可以改为:*.bat,*.scr等扩展名来启动.

六.Vxd虚拟设备驱动启动方式:
应用程序通过动态加载的VXD虚拟设备驱动,而去的Windows 9X系统的操控权(VXD虚拟设备驱动只适用于Windows 95/98/Me).
可以用来管理例如硬件设备或者已安装软件等系统资源的32位可执行程序,使得几个应用程序可以同时使用这些资源.

七.Service[服务]启动方式:
[开始]---[运行]---输入"services.msc",不带引号---即可对服务项目的操作.
在“服务启动方式”选项下,可以设置系统的启动方式:程序开始时自动运行,还是手动运行,或者永久停止启动,或者暂停(重新启动后依旧会启动).
注册表位置:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services
通过服务来启动的程序,都是在后台运行,例如国产木马"灰鸽子"就是利用此启动方式来达到后台启动,窃取用户信息.

八.驱动程序启动方式:
有些病毒会伪装成硬件的驱动程序,从而达到启动的目的.
1.系统自带的驱动程序.[指直接使用操作系统自带的标准程序来启动]
2.硬件自带的驱动程序.[指使用硬件自带的标准程序来启动]
3.病毒本身伪装的驱动程序.[指病毒本身伪装的标准程序来启动]

06/3/11补充[来自peter_yu]:
windir\Start Menu\Programs\Startup\
User\Startup\
All Users\Startup\
windir\system\iosubsys\
windir\system\vmm32\
windir\Tasks\

c:\explorer.exe 
c:\autoexec.bat
c:\config.sys
windir\wininit.ini
windir\winstart.bat
windir\win.ini - [windows] "load"
windir\win.ini - [windows] "run"
windir\system.ini - [boot] "shell"
windir\system.ini - [boot] "scrnsave.exe"
windir\dosstart.bat
windir\system\autoexec.nt
windir\system\config.nt

06/3/25补充[来自smzd2005]:
Folder.htt
desktop.ini
C:\Documents and Settings\用户名\Application Data\Microsoft\Internet Explorer\Desktop.htt

PS:用HIPS的,可以根据这些添加规则

xlf13872135090
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Windows 启动方式总结归纳&HIPS注册表防护关键位置
nicholasmaxwell的专栏
07-17 2227
【原创】Windows 启动方式总结归纳&HIPS注册表防护关键位置[07.4.27更新]感谢Tkabc,smzd2005,peter_yu,gzhr,zzswans,hwwgo等人指点. 一.自启动项目: 开始---程序---启动,里面添加一些应用程序或者快捷方式. 这是Windows 里面最常见,以及应用最简单的启动方式,如果想一些文件开机时候启动,那么也可以将他拖入里面或者建立快捷方式拖
论文摆渡木马隐藏技术的防范研究
03-03
kdh格式用CAJViewer阅览器可以打开。一篇国内关于摆渡木马技术的论文
3.4 摆渡攻击
m0_56534254的博客
09-29 1660
将可连接互联网的业务处理计算机与不联网的核心数据计算机通过物理隔离手段进行分隔,包括绝对隔离和通过隔离设备隔离,以保证内部网络的绝对安全和机密数据的安全性、完整性。在光盘或U盘根目录下创建autorun.inf文件,该文件可指定自动运行的程序,系统将会自动运行由antorun.inf文件所指定的程序。攻击者要跨协议架构传播病毒,可以通过摆渡攻击将适用于不同网络架构的病毒散播到异构协议的网络中,极大地增加了网络攻击的纵深和危害性。自动运行,是微软的Windows的操作系统的一种自动运行文件的机制。
光盘摆渡
weixin_43283381的博客
09-27 2268
前置机 网闸 摆渡机 跳板机 堡垒机
u013617791的专栏
04-07 1万+
前置机 应用场景 有些企业(如,银行、券商、电信运营商)有很多后台核心处理系统,但这个后天系统又不允许被外部企业的业务接口直接访问。此时这些企业会要求外部企业开发一套运行在该企业内网之外的软件,该软件所在机器通过专线或硬件等隔离技术连接到外部企业的系统上,运行这个软件的计算机,从功能上称呼为前置机。 作用 前置机,指代的是设置在后台系统之前的一个前置系统,可以是硬件设备,也可以是一套软件系统。随着应用场景的不同,前置机的功能就不想同,因此没有有一个统一的功能或者定义。前置机应用较多的作用包括: 从网络和
U盘摆渡程序
12-14
标题中的“U盘摆渡程序”是指一种利用U盘作为媒介传播恶意软件的技术。这种技术通常涉及编写特定的程序,该程序能够在U盘插入到计算机时自动运行,并尝试感染目标系统的其他部分。在这个描述中,提到的程序设计为...
论文研究-数据摆渡在安全移动存储中的应用研究.pdf
09-13
数据转换是保护数据隐私的一种有效方法。针对如何保持转换后数据的可用性问题,提出了一种基于模糊集的隐私保护方法。该方法把隐私属性值转换成模糊值,然后把转换后的数据及其模糊偏移度一起公开,既保护了数据隐私...
论文研究-一种分簇DTN中分层多摆渡节点路由机制 .pdf
08-21
一种分簇DTN中分层多摆渡节点路由机制,王秀磊,陈鸣,单摆渡节点路由机制在小规模聚簇DTN中有很好的工作效率,但是随着网络规模增大,该机制存在时延增大的缺点。为了解决这个缺点,设
一种基于能效的多摆渡组播路由算法
03-03
一种基于能效的多摆渡组播路由算法
恶意代码常见驻留分析
weixin_43781139的博客
07-26 1999
前言 恶意代码的一个重要功能就是要实现内存常驻,只要常驻内存,恶意代码就可以一直执行恶意行为,不会因为电脑重新启动、切换用户等原因停止。前文介绍的启动、Hook、注入中的很多技术都可以实现内存常驻,除此之外,恶意代码还可以利用一些系统功能实现内存常驻。本文就与你娓娓道来。 辅助功能 辅助功能介绍 windows提供了一些辅助功能,比如放大镜、讲述人等。Windows的辅助功能又叫做“轻松使用”,你可以在控制面板中查看他们。 这些辅助功能可以在用户登录界面启动,当你在登录界面按下win+U,就会弹出辅助功能的
u盘病毒制作教程和源码
热门推荐
liujiayu2的专栏
08-08 2万+
U盘病毒制作教程 知识点: --------------------------------------------------------------- 新建文件夹的名字是: 回收站.{645FF040-5081-101B-9F08-00AA002F954E} 这样就可以隐藏里面的文件了,打开此文件夹的时候直接进入回收站 -----------------------------
U盘传播木马解密
Mage的专栏
11-03 2323
常见的有在U盘根目录下建好几个隐藏文件,其中有一个是“autorun.inf”,其中包含的信息是自动运行一个隐藏的程序,这样在你双击U盘盘标时木马就已经安装到你的机器里了,这时你会看到你的任务管理器中多了一个或几个不明进程。这一种是最简单的U盘木马,再复杂一点的,在你没有关自动播放的情况下,只要一插上U盘,explorer.exe的系统进程就会把U盘下那些病毒复制到你的各个分区盘根目录下。在你打开
主板诊断卡简要说明书.doc
07-17
说明书
出入库表-进销存明细表-Excel模板
07-17
【作品名称】:出入库表-进销存明细表-Excel模板 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。
ActivePerl-5.8.8.819-MSWin32-x64-267479.msi
07-17
ActivePerl-5.8.8.819-MSWin32-x64-267479.msi X64 编译MTK功能机必要的组件,网上已经绝版了
torchaudio-0.10.1+cu113-cp38-cp38-win_amd64.whl
最新发布
07-17
torchaudio软件包,直接下载下来,通过命令窗口输入:pip install torchaudio-xxx.whl安装就行,再也不怕pip安装timeout了
flowable 摆渡节点
09-20
Flowable框架中的摆渡节点(Gateway)是用于根据条件决定流程流向的节点。摆渡节点可以有多个出口,每个出口都关联着一个条件表达式。在流程执行时,根据条件表达式的结果,选择满足条件的出口来确定流程的下一步...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值