|
|
|
病毒木马入侵招数全记录(2) |
|
|
作者:未知 来源:未知 加入时间:2005-11-15 人气:116 |
<STRONG>四、通过注册表中的Run来启动</STRONG>
很老套的方法,但80%的黑客仍在使用,通过在Run、RunOnce、RunOnceEx、RunServices、RunServicesOnce中添加键值,可以比较容易地实现程序的加载,黑客尤其方便在带”Once”的主键中作手脚,因此带“Once”的主键中的键值,在程序运行后将被删除,因此当用户使用注册表修改程序查看时,不会发现异样。另外,还有这样的程序:在启动时删除Run中的键值,而在退出时(或关闭系统时)又添加键值,达到隐蔽自己的目的。(这种方法的缺点是:害怕恶意关机或停电,呵呵!)
<STRONG>五、通过文件关联启动</STRONG>
很受黑客喜爱的方式,通过EXE文件的关联(主键为:exefile),让系统在执行任何程序之前都运行木马,真的好毒!通常修改的还有txtfile(文本文件的关联,谁不用用记事本呢?)、regfile(注册表文件关联,一般用来防止用户恢复注册表,例如让用户双击.reg文件就关闭计算机)、unkown(未知文件关联)。为了防止用户恢复注册表,用此法的黑客通常还连带谋杀scanreg.exe、sfc.exe、Extrac32.exe、regedit.exe等程序,阻碍用户修复。
<STRONG>六、通过API HOOK启动</STRONG>
这种方法较为高级,通过替换系统的DLL文件,让系统启动指定的程序。例如:拨号上网的用户必须使用Rasapi32.dll中的API函数来进行连接,那么黑客就会替换这个DLL,当用户的应用程序调用这个API函数,黑客的程序就会先启动,然后调用真正的函数完成这个功能(特别提示:木马可不一定是EXE,还可以是DLL、VXD),这样既方便又隐蔽(不上网时根本不运行)。中此绝毒的虫子,只有两种选择:Ghost或重装系统,幸好此毒廖廖无几,实属万虫之幸!
API的英文全称为:Application Programming Interface,也就是应用程序编程接口。在Windows程序设计领域发展初期,Windows程序员所能使用的编程工具唯有API函数,这些函数是Windows提供给应用程序与操作系统的接口,他们犹如“积木块”一样,可以搭建出各种界面丰富,功能灵活的应用程序。所以可以认为API函数是构筑整个Windows框架的基石,在它的下面是Windows的操作系统核心,而它的上面则是所有华丽的Windows应用程序。
|
|
相关文章:
相关软件:
|
|
|
