安全防範:關於電腦木馬程序隱藏一個新方法
中國風網 2004-5-29 17:30:32
--------------------------------------------------------------------------------
大家所熟知的木馬程序一般的啟動方式有:加載到“開始”菜單中的“啟動”項、記錄到注冊表的HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run項和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\[Run項中,更高級的木 馬還會注冊為係統的“服務”程序,以上這幾種啟動方式都可以在“係統配置實用程序”(在“開始→運行”中執行“Msconfig”)的“啟動”項和“服務”項中找到它的蹤跡。
另一種鮮為人知的啟動方式,是在“開始→運行”中執行“Gpedit.msc”。 打開“組策略”,可看到“本地計算機策略”中有兩個選項:“計算機配置”與“用戶配置”,展開“用戶配置→管理模板→係統→登錄”,雙擊“在用戶登錄時運行這些程序”子項進行屬性設置,選定“設置”項中的“已啟用”項並單擊“顯示”按鈕彈出“顯示內容”窗口,再單擊“添加”按鈕,在“添加項目”窗口內的文本框中輸入要自啟動的程序的路徑,單擊“確定”按鈕就完成了。
重新啟動計算機,係統在登錄時就會自動啟動你添加的程序,如果剛才添加的是木馬程序,那麽一個“隱形”木馬就這樣誕生了。因為用這種方式添加的自啟動程序在係統的“係統配置實用程序”是找不到的,同樣在我們所熟知的注冊表項中也是找不到的,所以非常危險。
通過這種方式添加的自啟動程序雖然被記錄在注冊表中,但是不在我們所熟知的注冊表的HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run項和HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\[Run項內,而是在注冊表的HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run項。如果你懷疑你的電腦被種了“木馬”,可是又找不到它在哪兒,建議你到注冊表的HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run項裏找找吧,或是進入“組策略”的“在用戶登錄時運行這些程序”看看有沒有啟動的程序。
文章來源:HackBase
中國風網 2004-5-29 17:30:32
--------------------------------------------------------------------------------
大家所熟知的木馬程序一般的啟動方式有:加載到“開始”菜單中的“啟動”項、記錄到注冊表的HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run項和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\[Run項中,更高級的木 馬還會注冊為係統的“服務”程序,以上這幾種啟動方式都可以在“係統配置實用程序”(在“開始→運行”中執行“Msconfig”)的“啟動”項和“服務”項中找到它的蹤跡。
另一種鮮為人知的啟動方式,是在“開始→運行”中執行“Gpedit.msc”。 打開“組策略”,可看到“本地計算機策略”中有兩個選項:“計算機配置”與“用戶配置”,展開“用戶配置→管理模板→係統→登錄”,雙擊“在用戶登錄時運行這些程序”子項進行屬性設置,選定“設置”項中的“已啟用”項並單擊“顯示”按鈕彈出“顯示內容”窗口,再單擊“添加”按鈕,在“添加項目”窗口內的文本框中輸入要自啟動的程序的路徑,單擊“確定”按鈕就完成了。
重新啟動計算機,係統在登錄時就會自動啟動你添加的程序,如果剛才添加的是木馬程序,那麽一個“隱形”木馬就這樣誕生了。因為用這種方式添加的自啟動程序在係統的“係統配置實用程序”是找不到的,同樣在我們所熟知的注冊表項中也是找不到的,所以非常危險。
通過這種方式添加的自啟動程序雖然被記錄在注冊表中,但是不在我們所熟知的注冊表的HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run項和HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\[Run項內,而是在注冊表的HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run項。如果你懷疑你的電腦被種了“木馬”,可是又找不到它在哪兒,建議你到注冊表的HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run項裏找找吧,或是進入“組策略”的“在用戶登錄時運行這些程序”看看有沒有啟動的程序。
文章來源:HackBase
選擇“Disable on www.wenxuecity.com”
選擇“don't run on pages on this domain”
