摘錄地址:
http://www.wowodo.net/bbs/read.php?tid=825
木馬是一種基于遠程控制的病毒程序,該程序具有很強的隱蔽性和危害性,它可以在人不知鬼不覺的狀態下控制你或者監視你����。下面就是木馬潛伏的詭招,看了以后不要忘記采取絕招來對付這些損招喲�!
1
����、集成到程序中
其實木馬也是一個服務器
-
客戶端程序�,它為了不讓用戶能輕易地把它刪除,就常常集成到程序里�,一旦用戶激活木馬程序�,那么木馬文件和某一應用程序捆綁在一起,然后上傳到服務端覆蓋原文件��,這樣即使木馬被刪除了�,只要運行捆綁了木馬的應用程序��,木馬又會被安裝上去了。綁定到某一應用程序中��,如綁定到系統文件,那么每一次
Windows
啟動均會啟動木馬��。
2
、隱藏在配置文件中
木馬實在是太狡猾����,知道菜鳥們平時使用的是圖形化界面的操作系統,對于那些已經不太重要的配置文件大多數是不聞不問了,這正好給木馬提供了一個藏身之處。而且利用配置文件的特殊作用��,木馬很容易就能在大家的計算機中運行、發作,從而偷窺或者監視大家�。不過����,現在這種方式不是很隱蔽��,容易被發現��,所以在
Autoexec.bat
和
Config.sys
中加載木馬程序的并不多見,但也不能因此而掉以輕心哦����。
3
�、潛伏在
Win.ini
中
木馬要想達到控制或者監視計算機的目的,必須要運行��,然而沒有人會傻到自己在自己的計算機中運行這個該死的木馬。當然��,木馬也早有心理準備,知道人類是高智商的動物��,不會幫助它工作的,因此它必須找一個既安全又能在系統啟動時自動運行的地方����,于是潛伏在
Win.ini
中是木馬感覺比較愜意的地方����。大家不妨打開
Win.ini
來看看��,在它的
[windows]
字段中有啟動命令
“load=”
和
“run=”
,在一般情況下
“=”
后面是空白的��,如果有后跟程序����,比方說是這個樣子:
run=c:windowsfile.exe load=c:windowsfile.exe
這時你就要小心了,這個
file.exe
很可能是木馬哦�。
4
�、偽裝在普通文件中
這個方法出現的比較晚��,不過現在很流行�,對于不熟練的
windows
操作者�,很容易上當。具體方法是把可執行文件偽裝成圖片或文本
----
在程序中把圖標改成
Windows
的默認圖片圖標
,
再把文件名改為
*.jpg.exe,
由于
Win98
默認設置是
"
不顯示已知的文件后綴名
",
文件將會顯示為
*.jpg,
不注意的人一點這個圖標就中木馬了
(
如果你在程序中嵌一張圖片就更完美了
)
����。
5
、內置到注冊表中
上面的方法讓木馬著實舒服了一陣��,既沒有人能找到它,又能自動運行��,真是快哉!然而好景不長�,人類很快就把它的馬腳揪了出來��,并對它進行了嚴厲的懲罰��!但是它還心有不甘�,總結了失敗教訓后����,認為上面的藏身之處很容易找��,現在必須躲在不容易被人發現的地方,于是它想到了注冊表��!的確注冊表由于比較復雜,木馬常常喜歡藏在這里快活�,趕快檢查一下����,有什么程序在其下��,睜大眼睛仔細看了�,別放過木馬哦:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion
下所有以
“run”
開頭的鍵值����;
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion
下所有以
“run”
開頭的鍵值����;
HKEY-USERS.DefaultSoftwareMicrosoftWindowsCurrentVersion
下所有以
“run”
開頭的鍵值��。
6
�、在
System.ini
中藏身
木馬真是無處不在呀!什么地方有空子,它就往哪里鉆!這不,
Windows
安裝目錄下的
System.ini
也是木馬喜歡隱蔽的地方����。還是小心點,打開這個文件看看,它與正常文件有什么不同,在該文件的
[boot]
字段中�,是不是有這樣的內容�,那就是
shell=Explorer.exe file.exe
��,如果確實有這樣的內容,那你就不幸了,因為這里的
file.exe
就是木馬服務端程序!另外����,在
System.ini
中的
[386Enh]
字段�,要注意檢查在此段內的
“driver=
路徑程序名
”
,這里也有可能被木馬所利用。再有��,在
System.ini
中的
[mic]
�、
[drivers]
����、
[drivers32]
這三個字段����,這些段也是起到加載驅動程序的作用��,但也是增添木馬程序的好場所,現在你該知道也要注意這里嘍。
7
��、隱形于啟動組中
有時木馬并不在乎自己的行蹤����,它更注意的是能否自動加載到系統中��,因為一旦木馬加載到系統中����,任你用什么方法你都無法將它趕跑
(
哎,這木馬臉皮也真是太厚
)
�,因此按照這個邏輯�,啟動組也是木馬可以藏身的好地方�,因為這里的確是自動加載運行的好場所����。動組對應的文件夾為:
C:windowsstart menuprogramsstartup
�,在注冊表中的位置:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion
ExplorerShellFolders Startup="C:windowsstart menuprogramsstartup"
��。要注意經常檢查啟動組哦�!
8
����、隱蔽在
Winstart.bat
中
按照上面的邏輯理論�,凡是利于木馬能自動加載的地方,木馬都喜歡呆��。這不,
Winstart.bat
也是一個能自動被
Windows
加載運行的文件��,它多數情況下為應用程序及
Windows
自動生成,在執行了
Win.com
并加載了多數驅動程序之后開始執行
(
這一點可通過啟動時按
F8
鍵再選擇逐步跟蹤啟動過程的啟動方式可得知
)
��。由于
Autoexec.bat
的功能可以由
Winstart.bat
代替完成,因此木馬完全可以像在
Autoexec.bat
中那樣被加載運行��,危險由此而來。
9
��、捆綁在啟動文件中
即應用程序的啟動配置文件,控制端利用這些文件能啟動程序的特點��,將制作好的帶有木馬啟動命令的同名文件上傳到服務端覆蓋這同名文件,這樣就可以達到啟動木馬的目的了����。
10
�、設置在超級連接中
木馬的主人在網頁上放置惡意代碼,引誘用戶點擊�,用戶點擊的結果不言而喻:開門揖盜�!奉勸不要隨便點擊網頁上的鏈接�,除非你了解它��,信任它�,為它死了也愿意等等