一、通过“开始\程序\启动”
二、通过 Win.ini 启动
示例:
通过修改win.ini 中的字段[windows]中的键load 或run,或者是为system.ini 中的
字段[boot]中的键 shell 增加值,可以达到设置程序自动运行的目的。假设我们要
自动运行notepad.exe,修改后的win.ini 或system.ini 文件象这样就可以:
win.ini
[windows]
load=c:\winnt\notepad.exe
run=c:\winnt\notepad.exe
三、通过注册表启动
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Run,
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
RunServicesOnce
四、通过Autoexec.bat 文件,或winstart.bat,config.sys 文件
Autoexec.bat 其实就是一个自动运行的批处理,一般为空(xp 下),如果有加
载,要仔细检查是不是病毒所为。
Winstart.bat 是一个特殊性丝毫不亚于Autoexec.bat 的批处理文件,说它特
殊,原因有六:
1.是名称特殊,如果改为其它名称,则如同自动批处理被改名一样不能起到
自动执行的效果;
2.是位置特殊,它必须位于Windows 的安装目录,如C:\windows 等;
3.是作用特殊,它多数情况下为应用程序及Win98 自动生成,因为安装某些
新的应用软件后
(如某些声卡的驱动程序等),由于程序共享冲突的原因一些系统设置不能
被立即更改,
再次启动系统时就可通过在Windows 目录下生成一个该名称的批处理,以可
靠地自动完成余下的任务;
4.是执行顺序特殊,它是在执行了Win.com,并加载了多数驱动程序之后开始
执行
(这一点可通过启动时按F8 键再选择逐步跟踪启动过程的启动方式可得知);
5.是存在形式特殊,一般情况下很难看到它的神秘身影,即使难得有应用程
序在安装时创建了它,
一旦完成任务之后系统又很快将其删除;但如果你自己创建了一个,则系统
又不会自动删除它;
6.是禁止其执行的方式特殊,用一步一步跟踪启动过程以回答“Y”或“N”
的方法对其它驱动程序
CONFIG.SYS 是DOS 系统中的一个重要文件,它的配置直接影响到系统的使用
及其效率。如果配置不当的话,可能很多程序都无法正常运行。因此,正确合理
地配置CONFIG.SYS 文件是十分必要和重要的。
其实这种方法并不适合木马使用,因为该文件会在Windows 启动前运行,这时系统
处于DOS 环境,只能运行16 位应用程序,Windows 下的32 位程 序是不能运行的。因
此也就失去了木马的意义。不过,这并不是说它不能用于启动木马。可以想象,SoftIce
for Win98(功能强大的程序调试工具,被黑客奉为至宝,常用于破解应用程序)也是
先要在Autoexec.bat 文件中运行然后才能在Windows 中呼 叫出窗口,进行调试的,既
然如此,谁能保证木马不会这样启动呢?到目前为止,我还没见过这样启动的木马,我
想能写这样木马的人一定是高手中的高手了。
五、通过System.ini 文件
事实上,System.ini 文件并没有给用户可用的启动项目,然而通过它启动却
是非常好用的。在System.ini 文件的[Boot]域中的Shell 项的值正常情况下是
“Explorer.exe”,这是Windows 的外壳程序,换一个 程序就可以彻底改变
Windows 的面貌(如改为Progman.exe 就可以让Win9x 变成Windows3.2)。我们
可以在 “Explorer.exe”后加上木马程序的路径,这样Windows 启动后木马也就
随之启动,而且即使是安全模式启动也不会跳过这一项,这样木马也就可以保证
永远随Windows 启动了,名噪一时的尼姆达病毒就是用的这种方法。这时,如果
木马程序也具有自动检测添加Shell 项的功能的话,那简直是天 衣无缝的绝配,
我想除了使用查看进程的工具中止木马,再修改Shell 项和删除木马文件外是没
有破解之法了。但这种方式也有个先天的不足,因为只有 Shell 这一项嘛,如果
有两个木马都使用这种方式实现自启动,那么后来的木马可能会使前一个无法启
动,呵呵以毒攻毒啊。
六、通过某特定程序或文件启动
1、寄生于特定程序之中
2、将特定的程序改名
3、文件关联
二、通过 Win.ini 启动
示例:
通过修改win.ini 中的字段[windows]中的键load 或run,或者是为system.ini 中的
字段[boot]中的键 shell 增加值,可以达到设置程序自动运行的目的。假设我们要
自动运行notepad.exe,修改后的win.ini 或system.ini 文件象这样就可以:
win.ini
[windows]
load=c:\winnt\notepad.exe
run=c:\winnt\notepad.exe
三、通过注册表启动
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Run,
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
RunServicesOnce
四、通过Autoexec.bat 文件,或winstart.bat,config.sys 文件
Autoexec.bat 其实就是一个自动运行的批处理,一般为空(xp 下),如果有加
载,要仔细检查是不是病毒所为。
Winstart.bat 是一个特殊性丝毫不亚于Autoexec.bat 的批处理文件,说它特
殊,原因有六:
1.是名称特殊,如果改为其它名称,则如同自动批处理被改名一样不能起到
自动执行的效果;
2.是位置特殊,它必须位于Windows 的安装目录,如C:\windows 等;
3.是作用特殊,它多数情况下为应用程序及Win98 自动生成,因为安装某些
新的应用软件后
(如某些声卡的驱动程序等),由于程序共享冲突的原因一些系统设置不能
被立即更改,
再次启动系统时就可通过在Windows 目录下生成一个该名称的批处理,以可
靠地自动完成余下的任务;
4.是执行顺序特殊,它是在执行了Win.com,并加载了多数驱动程序之后开始
执行
(这一点可通过启动时按F8 键再选择逐步跟踪启动过程的启动方式可得知);
5.是存在形式特殊,一般情况下很难看到它的神秘身影,即使难得有应用程
序在安装时创建了它,
一旦完成任务之后系统又很快将其删除;但如果你自己创建了一个,则系统
又不会自动删除它;
6.是禁止其执行的方式特殊,用一步一步跟踪启动过程以回答“Y”或“N”
的方法对其它驱动程序
CONFIG.SYS 是DOS 系统中的一个重要文件,它的配置直接影响到系统的使用
及其效率。如果配置不当的话,可能很多程序都无法正常运行。因此,正确合理
地配置CONFIG.SYS 文件是十分必要和重要的。
其实这种方法并不适合木马使用,因为该文件会在Windows 启动前运行,这时系统
处于DOS 环境,只能运行16 位应用程序,Windows 下的32 位程 序是不能运行的。因
此也就失去了木马的意义。不过,这并不是说它不能用于启动木马。可以想象,SoftIce
for Win98(功能强大的程序调试工具,被黑客奉为至宝,常用于破解应用程序)也是
先要在Autoexec.bat 文件中运行然后才能在Windows 中呼 叫出窗口,进行调试的,既
然如此,谁能保证木马不会这样启动呢?到目前为止,我还没见过这样启动的木马,我
想能写这样木马的人一定是高手中的高手了。
五、通过System.ini 文件
事实上,System.ini 文件并没有给用户可用的启动项目,然而通过它启动却
是非常好用的。在System.ini 文件的[Boot]域中的Shell 项的值正常情况下是
“Explorer.exe”,这是Windows 的外壳程序,换一个 程序就可以彻底改变
Windows 的面貌(如改为Progman.exe 就可以让Win9x 变成Windows3.2)。我们
可以在 “Explorer.exe”后加上木马程序的路径,这样Windows 启动后木马也就
随之启动,而且即使是安全模式启动也不会跳过这一项,这样木马也就可以保证
永远随Windows 启动了,名噪一时的尼姆达病毒就是用的这种方法。这时,如果
木马程序也具有自动检测添加Shell 项的功能的话,那简直是天 衣无缝的绝配,
我想除了使用查看进程的工具中止木马,再修改Shell 项和删除木马文件外是没
有破解之法了。但这种方式也有个先天的不足,因为只有 Shell 这一项嘛,如果
有两个木马都使用这种方式实现自启动,那么后来的木马可能会使前一个无法启
动,呵呵以毒攻毒啊。
六、通过某特定程序或文件启动
1、寄生于特定程序之中
2、将特定的程序改名
3、文件关联
本文由站长原创或收集,不代表本站立场,如若转载,请注明出处:https://www.yesck.com/post/39/
本文 暂无 评论