HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion
下所有以“run”开头的键值;
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion
下所有以“run”开头的键值;
HKEY-USERS.DefaultSoftwareMicrosoftWindowsCurrentVersion
下所有以“run”开头的键值。
6.在System.ini中藏身 copyright dedecms
木马真是无处不在呀!什么地方有空子,它就往哪里钻!这不,Windows安装目录下的System.ini也是木马喜欢 (www.xxk123.com个性签名:www.xxk123.com个性签名网(www.xxk123.com个性签名:www.xxk123.com)-推荐qq(www.xxk123.com)个性签名:www.xxk123.com个性签名网(www.xxk123.com个性签名:www.xxk123.com)原创网{www.xxk123.com个性签名:www.xxk123.com个性签名网(www.xxk123.com个性签名:www.xxk123.com)})隐蔽的地方。还是小心点,打开这个文件看看,它与正常文件有什么不同,在该文件的[boot]字段中,是不是有这样的内容,那就是shell= Explorer.exefile.exe。 织梦内容管理系统
如果确实有这样的内容,那你就不幸了,因为这里的file.exe就是木马服务端程序!另外,在System.ini中的 [386Enh]字段,要注意检查在此段内的“driver=路径程序名”,这里也有可能被木马所利用。再有,在System.ini中的[mic]、 [drivers]、[drivers32]这三个字段,这些段也是起到加载驱动程序的作用,但也是增添木马程序的好场所,现在你该知道也要注意这里。
copyright dedecms
7.隐形于启动组中 织梦好,好织梦
有时木马并不在乎自己的行踪,它更注意的是能否自动加载到系统中,因为一旦木马加载到系统中,任你用什么方法你都无法将它赶跑(哎,这木马脸皮也真是太厚),因此按照这个逻辑,启动组也是木马可以藏身的好地方,因为这里的确是自动加载运行的好场所。启动组对应的文件夹为: 织梦内容管理系统
C:windowsstartmenuprogramsstartup
在注册表中的位置: 织梦好,好织梦
HKEY_CURRENT_USERSoftwareMicrosoftWindows
CurrentVersionExplorerShellFoldersStartup=
“C:windowsstartmenuprogramsstartup”
要注意经常检查启动组。 织梦好,好织梦
8.隐蔽在Winstart.bat中
织梦内容管理系统
按照上面的逻辑理论,凡是利于木马能自动加载的地方,木马都喜欢 (www.xxk123.com个性签名:www.xxk123.com个性签名网(www.xxk123.com个性签名:www.xxk123.com)-推荐qq(www.xxk123.com)个性签名:www.xxk123.com个性签名网(www.xxk123.com个性签名:www.xxk123.com)原创网{www.xxk123.com个性签名:www.xxk123.com个性签名网(www.xxk123.com个性签名:www.xxk123.com)})呆。这不,Winstart.bat也是一个能自动被Windows加载运行的文件,它多数情况下为应用程序及Windows自动生成,在执行了Win.com并加载了多数驱动程序之后开始执行(这一点可通过启动时按F8键再选择逐步跟踪启动过程的启动方式可得知)。 dedecms.com
由于Autoexec.bat的功能可以由Winstart.bat代替完成,因此木马完全可以像在Autoexec.bat中那样被加载运行,危险由此而来。 本文来自织梦
9.捆绑在启动文件中 dedecms.com
即应用程序的启动配置文件,控制端利用这些文件能启动程序的特点,将制作好的带有木马启动命令的同名文件上传到服务端覆盖这同名文件,这样就可以达到启动木马的目的了。 dedecms.com
10.设置在超级连接中
内容来自dedecms
木马的主人在网页上放置恶意代码,引诱用户点击,用户点击的结果不言而喻:开门揖盗!奉劝不要随便点击网页上的链接,除非你了解它,信任它。
copyright dedecms