個人資料
正文

暗藏殺機的注冊表項

(2010-07-21 09:10:42) 下一個

暗藏殺機的注冊表項

   
暗藏殺機的注冊表項

利用注冊表項加載木馬一直是木馬的最愛,也是我們所熟知的一種手段,不過,有一種新的利用注冊表來隱藏木馬的方法您可能還不知道。具體方法是:
點擊“開始”菜單中的“運行”,輸入Regedit,打開注冊表編輯器。展開注冊表到HKEY_CURRENT_USERSoftware MicrosoftWindows NTCurrentVersionWindows項,新建一個字符串值,命名為“load”,把它的鍵值改為要自啟動程序的路徑即可。

提示:要使用文件的短文件名,即“C:Program Files”應該寫為“C:Progra~1”,且自啟動程序的後麵不能帶有任何參數。如果改在注冊表HKEY_USERS用戶ID號Software MicrosoftWindows NTCurrentVersionWindows項加載,則本方法對其他用戶也有效,否則換個用戶名登錄就不管用了。

用這種方法加載木馬,在Windows優化大師的“開機速度優化”選項中將無法看到有木馬程序被加載,如果被有心人利用在這裏加載惡意程序或木馬,對大家的威脅將很大。
建議大家以後檢查木馬及病毒程序時特別注意這部分,不給別人可乘之機。另外,這個方法隻對Windows 2000/XP/2003有效,使用Windows 9x的用戶不用擔心。

利用AutoRun.inf加載木馬

經常使用光盤的朋友都知道,某些光盤放入光驅後會自動運行,這種功能的實現主要靠兩個文件,一個是係統文件之一的Cdvsd.vxd,一是光盤上的AutoRun.inf文件。Cdvsd.vxd會隨時偵測光驅中是否有放入光盤的動作,如果有,便尋找光盤根目錄下的AutoRun.inf文件。如果存在,就執行裏麵的預設程序。

不過,AutoRun不僅能應用於光盤中,同樣也可以應用於硬盤中(要注意的是,AutoRun.inf必須存放在磁盤根目錄下才能起作用)。讓我們一起看看AutoRun.inf文件的內容吧。
打開記事本,新建一個文件,將其命名為AutoRun.inf,在AutoRun.inf中鍵入以下內容:
[AutoRun]
Icon=C:WindowsSystemShell32.DLL,21
Open=C:Program FilesACDSeeACDSee.exe
其中,“[AutoRun]”是必須的固定格式,一個標準的AutoRun文件必須以它開頭,目的是告訴係統執行它下麵幾行的命令;第二行“Icon=C:WindowsSystemShell32.DLL,21”是給硬盤或光盤設定一個個性化的圖標,“Shell32.DLL”是包含很多Windows圖標的係統文件,“21”表示顯示編號為21的圖標,無數字則默認采用文件中的第一個圖標;第三行“Open=C:Program FilesACDSeeACDSee.exe”指出要運行程序的路徑及其文件名。
如果把Open行換為木馬文件,並將這個AutoRun.inf文件設置為隱藏屬性,我們點擊硬盤時就會啟動木馬。

為防止遭到這樣的“埋伏”,可以禁止硬盤AutoRun功能。在“開始”菜單的“運行”中輸入Regedit,打開注冊表編輯器,展開到HKEY_CURRENT_USERSoftware MicrosoftWindowsCurrentVersionPoliciesExploer主鍵下,在右側窗口中找到“NoDriveTypeAutoRun”,就是它決定了是否執行CDROM或硬盤的AutoRun功能。將其鍵值改為9D,00,00,00就可以關閉硬盤的AutoRun功能,如果改為B5,00,00,00則禁止光盤的AutoRun功能。修改後重新啟動計算機,設置就會生效。

屏幕保護也可能成為木馬的幫凶

Windows的屏幕保護程序對應的是.scr文件,它是PE格式的可執行文件,在默認情況下保存在Windows的安裝目錄下。如果把.scr更名為.exe文件,該程序仍然可以正常啟動,.exe文件更名為.scr文件也照樣可以運行。順便提一下,把.exe文件改名為.com、.pif、.bat後,exe文件仍舊可以自由運行。這在exe文件關聯丟失後非常有用。
在屏幕保護程序中,我們可以設定它的等待時間,這個啟動時間其實是可以在注冊表中設定的。在注冊表項 HKEY_USERS.DEFAULTControl Paneldesktop下麵的字符串值ScreenSaveTimeOut記錄的就是屏保程序的等待時間,時間單位為秒,從60秒開始記錄,如果記錄時間小於60秒,則自動定為1分鍾。
提示:是否選擇了屏幕保護程序可以在system.ini文件中看出來。在“開始”菜單的“運行”中輸入msconfig,找到System標簽,找到裏麵的[boot]小節,可以看到有“SCRNSAVE.EXE=”這一行。在它後麵是屏保文件的路徑。如果您設定了屏保程序,這一行前麵就會有一個“√”,反之則沒有“√”。
由上麵的介紹可以產生一種聯想:如果把.exe文件重命名為.scr文件(假設改為trojan.scr),並在System.ini中添加“SCANSAVE.EXE=C:Program files rojan.scr”,然後修改注冊表中的HKEY_USERS.DEFAULTControl Paneldesktop下的字符串值ScreenSaveTimeOut,把其鍵值改為60,則係統隻要閑置一分鍾該文件就會被啟動。
防範這種攻擊的方法就是禁止使用屏幕保護功能。要想一次性取消屏幕保護功能,可以通過修改注冊表來實現。打開注冊表編輯器,找到HKEY_CURRENT_USER ControlPaneldesktopScreenSaveActive子鍵,將“ScreenSaveActive”改為“0”,就可以禁止使用屏幕保護功能。
[ 打印 ]
閱讀 ()評論 (0)
評論
目前還沒有任何評論
登錄後才可評論.