首页/杀毒教程/内容

替换系统服务完成木马自打开的办法

杀毒教程2024-03-22 阅读()
[摘要]1. 在Win.ini中启动 在Win.ini的[windows]字段中有启动命令"load="和"run=", 在一般情况下 "="...

1. 在Win.ini中启动

在Win.ini的[windows]字段中有启动命令"load="和"run=", 在一般情况下 "="后面是空白的, 如果有后跟程序, 比方说是这个样子:

run=c:\windows\file.exe

load=c:\windows\file.exe

要小心了, 这个file.exe很可能是木马哦。

2.在System.ini中启动

System.ini位于Windows的安装目录下, 其[boot]字段的shell=Explorer.exe是木马喜欢的隐藏加载之所, 木马通常的做法是将该何变为这样:shell=Explorer.exefile.exe。 注意这里的file.exe就是木马服务端程序!

另外, 在System.中的[386Enh]字段, 要注意检查在此段内的"driver=路径\程序名"这里也有可能被木马所利用。 再有, 在System.ini中的[mic]、[drivers]、[drivers32]这3个字段, 这些段也是起到加载驱动程序的作用, 但也是增添木马程序的好场所, 现在你该知道也要注意这里喽。

3.利用注册表加载运行

如下所示注册表位置都是木马喜好的藏身加载之所, 赶快检查一下, 有什么程序在其下。

4.在Autoexec.bat和Config.sys中加载运行

请大家注意, 在C盘根目录下的这两个文件也可以启动木马。 但这种加载方式一般都需要控制端用户与服务端建立连接后, 将己添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行, 而且采用这种方式不是很隐蔽。 容易被发现, 所以在Autoexec.bat和Confings中加载木马程序的并不多见, 但也不能因此而掉以轻心。

5.在Winstart.bat中启动

Winstart.bat是一个特殊性丝毫不亚于Autoexec.bat的批处理文件, 也是一个能自动被Windows加载运行的文件。 它多数情况下为应用程序及Windows自动生成, 在执行了Windows自动生成, 在执行了Win.com并加截了多数驱动程序之后

开始执行 (这一点可通过启动时按F8键再选择逐步跟踪启动过程的启动方式可得知)。 由于Autoexec.bat的功能可以由Witart.bat代替完成, 因此木马完全可以像在Autoexec.bat中那样被加载运行, 危险由此而来。


上面是电脑上网安全的一些基础常识,学习了安全知识,几乎可以让你免费电脑中毒的烦扰。



……

相关阅读