找回密码
 注册
搜索
热搜: 活动 交友
查看: 372|回复: 0

暗藏杀机的注册表项

[复制链接]

0

主题

70

回帖

120

积分

注册会员

新手上路

积分
120
发表于 2007-10-18 01:47:29 | 显示全部楼层 |阅读模式

                                                                                        暗藏杀机的注册表项

利用注册表项加载木马一直是木马的最爱,也是我们所熟知的一种手段,不过,有一种新的利用注册表来隐藏木马的方法您可能还不知道。具体方法是:
点击“开始”菜单中的“运行”,输入Regedit,打开注册表编辑器。展开注册表到HKEY_CURRENT_USERSoftware MicrosoftWindows NTCurrentVersionWindows项,新建一个字符串值,命名为“load”,把它的键值改为要自启动程序的路径即可。

提示:要使用文件的短文件名,即“C:Program Files”应该写为“C:Progra~1”,且自启动程序的后面不能带有任何参数。如果改在注册表HKEY_USERS用户ID号Software MicrosoftWindows NTCurrentVersionWindows项加载,则本方法对其他用户也有效,否则换个用户名登录就不管用了。

用这种方法加载木马,在Windows优化大师的“开机速度优化”选项中将无法看到有木马程序被加载,如果被有心人利用在这里加载恶意程序或木马,对大家的威胁将很大。
建议大家以后检查木马及病毒程序时特别注意这部分,不给别人可乘之机。另外,这个方法只对Windows 2000/XP/2003有效,使用Windows 9x的用户不用担心。

利用AutoRun.inf加载木马

经常使用光盘的朋友都知道,某些光盘放入光驱后会自动运行,这种功能的实现主要靠两个文件,一个是系统文件之一的Cdvsd.vxd,一是光盘上的 AutoRun.inf文件。Cdvsd.vxd会随时侦测光驱中是否有放入光盘的动作,如果有,便寻找光盘根目录下的AutoRun.inf文件。如果 存在,就执行里面的预设程序。

不过,AutoRun不仅能应用于光盘中,同样也可以应用于硬盘中(要注意的是,AutoRun.inf必须存放在磁盘根目录下才能起作用)。让我们一起看看AutoRun.inf文件的内容吧。
打开记事本,新建一个文件,将其命名为AutoRun.inf,在AutoRun.inf中键入以下内容:
[AutoRun]
Icon=C:WindowsSystemShell32.DLL,21
Open=C:Program FilesACDSeeACDSee.exe
其中,“[AutoRun]”是必须的固定格式,一个标准的AutoRun文件必须以它开头,目的是告诉系统执行它下面几行的命令;第二行“Icon= C:WindowsSystemShell32.DLL,21”是给硬盘或光盘设定一个个性化的图标,“Shell32.DLL”是包含很多 Windows图标的系统文件,“21”表示显示编号为21的图标,无数字则默认采用文件中的第一个图标;第三行“Open=C:Program FilesACDSeeACDSee.exe”指出要运行程序的路径及其文件名。
如果把Open行换为木马文件,并将这个AutoRun.inf文件设置为隐藏属性,我们点击硬盘时就会启动木马。

为防止遭到这样的“埋伏”,可以禁止硬盘AutoRun功能。在“开始”菜单的“运行”中输入Regedit,打开注册表编辑器,展开到 HKEY_CURRENT_USERSoftware MicrosoftWindowsCurrentVersionPoliciesExploer主键下,在右侧窗口中找到 “NoDriveTypeAutoRun”,就是它决定了是否执行CDROM或硬盘的AutoRun功能。将其键值改为9D,00,00,00就可以关闭 硬盘的AutoRun功能,如果改为B5,00,00,00则禁止光盘的AutoRun功能。修改后重新启动计算机,设置就会生效。

屏幕保护也可能成为木马的帮凶

Windows的屏幕保护程序对应的是.scr文件,它是PE格式的可执行文件,在默认情况下保存在Windows的安装目录下。如果把.scr更名为. exe文件,该程序仍然可以正常启动,.exe文件更名为.scr文件也照样可以运行。顺便提一下,把.exe文件改名为.com、.pif、.bat 后,exe文件仍旧可以自由运行。这在exe文件关联丢失后非常有用。
在屏幕保护程序中,我们可以设定它的等待时间,这个启动时间其实是可以在注册表中设定的。在注册表项 HKEY_USERS.DEFAULTControl Paneldesktop下面的字符串值ScreenSaveTimeOut记录的就是屏保程序的等待时间,时间单位为秒,从60秒开始记录,如果记录时 间小于60秒,则自动定为1分钟。
提示:是否选择了屏幕保护程序可以在system.ini文件中看出来。在“开始”菜单的“运行”中输入msconfig,找到System标签,找到里 面的[boot]小节,可以看到有“SCRNSAVE.EXE=”这一行。在它后面是屏保文件的路径。如果您设定了屏保程序,这一行前面就会有一个 “√”,反之则没有“√”。
由上面的介绍可以产生一种联想:如果把.exe文件重命名为.scr文件(假设改为trojan.scr),并在System.ini中添加 “SCANSAVE.EXE=C:Program files rojan.scr”,然后修改注册表中的HKEY_USERS.DEFAULTControl Paneldesktop下的字符串值ScreenSaveTimeOut,把其键值改为60,则系统只要闲置一分钟该文件就会被启动。
防范这种攻击的方法就是禁止使用屏幕保护功能。要想一次性取消屏幕保护功能,可以通过修改注册表来实现。打开注册表编辑器,找到 HKEY_CURRENT_USER ControlPaneldesktopScreenSaveActive子键,将“ScreenSaveActive”改为“0”,就可以禁止使用屏幕 保护功能。
您需要登录后才可以回帖 登录 | 注册

本版积分规则

手机版|阿波罗网

GMT+8, 2024-11-23 19:34

快速回复 返回顶部 返回列表