木馬藏身處大揭祕酷乐超级论坛

【只看楼主】

木馬藏身處大揭祕

【注意】木馬藏身處大揭祕

木馬，又名特洛伊木馬，其名稱取自古希臘神話的特洛伊木馬記，它是一種基于遠程控制的黑客工具，具有很強的隱蔽性和危
害性。為了達到控制服務端主機的目的，木馬往往要采用各種手段達到激活自己、加載運行的目的。讓我們一起來看看木馬常
用的激活方式。

在Win.ini中啟動
在Win.ini的[windows]字段中有啟動命令“load=”和“run=”，在一般情況下“=”后面是空白的，如果后面跟著程序，比如：

run=c:\windows\file.exe
load=c:\windows\file.exe

這個file.exe很可能就是木馬程序！

修改文件關聯
修改文件關聯是木馬們常用手段（主要是國產木馬，老外的木馬大都沒有這個功能），比方說正常情況下TXT文件的打開方式
為Notepad.exe文件，但一旦中了文件關聯木馬，則TXT文件打開方式就會被修改為用木馬程序打開，如著名的國產木馬冰河。
“冰河”就是通過修改HKEY_CLASSES_ROOT\txtfile\shell\open\command下的鍵值，將“C:\WINDOWS\NOTEPAD.EXE %1”改為
“C:\WINDOWS\SYSTEM\SYSEXPLR.EXE %1”，這樣當你雙擊一個TXT文件，原本應用Notepad打開該文件的，現在卻變成啟
動木馬程序了，好狠毒哦！請大家注意，不僅僅是TXT文件，其他諸如HTM、EXE、ZIP、COM等都是木馬的目標，要小心
嘍。對付這類木馬，只能經常檢查HKEY_CLASSES_ROOT\文件類型\shell\open\command主鍵，查看其鍵值是否正常。

捆綁文件
實現這種觸發條件首先要控制端和服務端已通過木馬建立連接，然后控制端用戶用工具軟件將木馬文件和某一應用程序捆綁在
一起，上傳到服務端覆蓋原文件，這樣即使木馬被刪除了，只要運行捆綁了木馬的應用程序，木馬又會被安裝上去了。綁定到
某一應用程序中，如綁定到系統文件，那么每一次Windows啟動均會啟動木馬。

在System.ini中啟動
System.ini位于Windows的安裝目錄下，其[boot]字段的shell=Explorer.exe是木馬喜歡的隱蔽加載之所，木馬通常的做法是將該句
變為這樣：shell=Explorer.exe file.exe，注意這里的file.exe就是木馬服務端程序！

另外，在System.ini中的[386Enh]字段，要注意檢查在此段內的“driver=路徑\程序名”，這里也有可能被木馬所利用。

再有，在System.ini中的[mic]、[drivers]、[drivers32]這三個字段，它們起到加載驅動程序的作用，但也是添加木馬程序的好場
所。

利用注冊表加載運行
如下所示的注冊表位置都是木馬喜好的藏身之處，趕快檢查一下，有什么程序在其下：

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下所有以“run”開頭的鍵值﹔
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下所有以“run”開頭的鍵值﹔
HKEY_USERS\.Default\Software\
Microsoft\Windows\CurrentVersion下所有以“run”開頭的鍵值。

在Autoexec.bat和Config.sys中加載運行
請大家注意，在C盤根目錄下的這兩個文件也可以啟動木馬。但這種加載方式一般都需要控制端用戶與服務端建立連接后，將
已添加木馬啟動命令的同名文件上傳到服務端覆蓋這兩個文件才行，而且采用這種方式不是很隱蔽，容易被發現。所以在
Autoexec.bat和Config.sys中加載木馬程序的并不多見，但也不能因此而掉以輕心。

在Winstart.bat中啟動
Winstart.bat是一個特殊性絲毫不亞于Autoexec.bat的批處理文件，它也是一個能自動被Windows加載運行的文件。它多數情況下
為應用程序及Windows自動生成，在執行了Win.com并加載了多數驅動程序之后開始執行（這一點可通過啟動時按[F8]鍵再選擇
逐步跟蹤啟動過程的啟動方式得知）。由于Autoexec.bat的功能可以由Winstart.bat代替完成，因此木馬完全可以像在Autoexec.bat
中那樣被加載運行。

“反彈端口”型木馬的主動連接方式
什么叫“反彈端口”型木馬呢？作者經過分析防火牆的特性后發現：大多數的防火牆對于由外面連入本機的連接往往會進行非
常嚴格的過濾，但是對于由本機發出的連接卻疏于防范（當然有的防火牆兩方面都很嚴格）。于是，與一般的木馬相反，“反
彈端口”型木馬的服務端(被控制端)使用主動端口，客戶端(控制端)使用被動端口，當要建立連接時，由客戶端通過FTP主頁空
間告訴服務端：“現在開始連接我吧！”，并進入監聽狀態，服務端收到通知后，就會開始連接客戶端。為了隱蔽起見，客戶
端的監聽端口一般開在80，這樣，即使用戶使用端口掃描軟件檢查自己的端口，發現的也是類似“TCP　服務端的IP地
址:1026，客戶端的IP地址:80 ESTABLISHED”的情況，稍微疏忽一點你就會以為是自己在瀏覽網頁。防火牆也會如此認為，大
概沒有哪個防火牆會不給用戶向外連接80端口吧。這類木馬的典型代表就是“網絡神偷”。由于這類木馬仍然要在注冊表中建
立鍵值，因此只要留意注冊表的變化就不難查到它們。

盡管木馬很狡猾，善于偽裝和隱藏自己，達到其不可告人的目的。但是，只要我們摸清規律，掌握一定的方法，還是能夠防范
的。消除對木馬的恐懼感和神祕感。其實，只要你能加倍小心，加強防范，相信木馬將會離你遠去！

[楼主] 来自:未知地区 | xxx.xxx.xxx.xxx | Posted: 2007-03-30 02:41 PM

黄蜂认为邻蜂储蜜之巢太小。他的邻人要他去建筑一个更小的。泰戈尔

黄蜂认为邻蜂储蜜之巢太小。他的邻人要他去建筑一个更小的。
泰戈尔