通过注册表启动、通过System. ini启动
通过开始程序启动:这种方式最常见,就像一般的软件设置开机启动是一样的,比方说,腾讯QQ就是用这种方式实现自启动的。不过如今的木马一般不会用这种方式了,因为出现在“开始”菜单的“启动”中很容易被发现行踪而被处理掉。
通过注册表启动 通过注册表启动分为三种,各种的具体设置如下所示: .通过HKEY _ CURRENT _ USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Hun , HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run和HKEY_ LOCAL-MACHINE \Software \ Microsoft \ W indows \CurrentVersion \ RunServiceso 常用木马:BO2000, GOP, NetSpy, lEthief,冰河等。 通常木马会用这种方式,设置简单,不过也是会被发现的。正式因为使用的太多,所以一说到木马,就会联想到注册表中的主键,通常木马会使用最后一个,使用Windows自带的程序msconfig或注册表编辑器(regedit. exe)都可以将其轻而易举地删除,可见这也不是一种可靠的方法。但是,现在也有了改进,我们可以在木马程序中加一个时问控件,实时监视注册表中自身的启动键值是否存在,一旦发现被删除,则立即重新写人,来保证下次Windows启动时能被运行,这样木马程序和注册表中的启动键值之间就形成了一种互相保护的状态。木马程序未中止,启动键值就无法删除(手工删除后木马程序又自动添加上了),相反的,不删除启动键值,下次启动Windows还会启动木马。破解方法:首先,以安全模式启动 Windows,此时Windows不会加载注册表中的项Ei ,因此木马不会被启动,相互保护的状况也就不攻自破了。然后,就可以删除注册表中的键值和相应的木马程序了。通过HKEY_LOCAL_MACHINE \Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce,HKEY_ CURRENT_ USER\Software\Microsoft\Windows \CurrentVersion \ RunOnce和HKEY_ LO-CAL_MACHINE\Software\ Microsoft \Windows \CurrentVersion \ RunServices Once,, 常用木马:Happy99,, 这是一种很少使用的方法,可是隐蔽性很强,并且也不会在msconfig _r留下踪迹。在这个键值下的项目和上一种相似,会在Windows启动时启动,但Windows启动后,该键值下的项目会被清空,因而不易被发现,但是只能启动一次。还有一种方法,不是在启动的时候加而是在退出Windows的时候,这要求木马程序本身要截获Windows的消息,当发现关闭Windows消息时,暂停关闭过程,添加注册表项目,然后才开始关闭Windows,这样用Regedit也找不到它的踪迹了。这种方式也有一个不完美的地方,就是一旦Windows异常中止(对于Windows9x这是经常的),木马也就失效了。 上面的三种方式各自有各自的特点,通常木马会选择第一个键值,因为在第二个键值下的项目会在Windows启动完成前运行,并等待程序结束才会继续启动Windows
通过autoexec. bat,winstart. bat或confg.sys文件:其实这种方法并不适合木马使用,因为该文件会在Windows启动前运行,这时系统处于DOS环境,只能运行16位应用程序,Window,下的32位程序是不能运行的。木马此时也就失效了,可是仍然要防范,因为木马的伪装就是要做到让你无从下手
通过System. ini文件:事实上,System. ini文件并没有给用户可用的启动项目,然而通过它启动却是非常好用的。在System. ini文件的“Boot”域中的Shell项的值正常情况下是' explorer. exe',这是Windows的外壳程序,换一个程序就可以彻底改变Windows的面貌(如改为progman. exe就可以让Windows 9x变成Windows 3. x)。还可以在“explorer. exe”后加上木马程序的路径,这样Windows启动后木马也就随之启动,而且即使是安全模式启动也不会跳过这一项,这样木马也就可以保证永远随Windows启动了
寄生于特定程序之中 即木马和正常程序捆绑,有点类似于病毒,程序在运行时,木马程序先获得控制权或另开一个线程以监视用户操作、截取密码等,这类木马编写的难度较大,需要了解PE文件结构和Windows的底层知识
将特定的程序改名 QQ是这类木马最多的寄主,比方说,将QQ的启动文件QQ2000b. exe改为QQ2000b.ico. exe,再将木马程序改为QQ2000b. exe。这样以后,一旦用户运行“QT , QQ木马也就运行了,然后才由QQ木马去启动真正的QQ
文件关联:一般情况下木马程序会将自己和TXT文件或EXE文件关联,这样当打开 一个文本文件或运行一个程序时,木马也就偷偷地启动了
一个文本文件或运行一个程序时,木马也就偷偷地启动了