减小字体
增大字体- ·上一篇文章:网络系统安全漏洞分类研究(上)
- ·下一篇文章:揪出系统中秘密隐藏的木马(上)
揪出系统中秘密隐藏的木马(下)
木马对文件关联的利用
在注册表HKEY_LOCAL_MACHINE\Soft-ware\Microsoft\Windows\CurrentVersion\Run下可以加载程序,使之开机则自动运行,类似“Run”这样的子键在注册表中还有几处,均以“Run”开头,如RunOnce、RunServices等。其实,除了这几种方法,还有一种修改注册表的方法可以使程序自启动。具体说来就是更改文件的打开方式,这样就可以使程序跟随你打开的那种文件类型一起启动!举个例子,打开注册表,展开注册表到:HKEY_CLASSES_ROOT\exefile\shell\open\command,这里是EXE文件的打开方式,默认键值为:"%1\" %*。如果把默认键值改为:Trojan.exe "%1\" %*,则你每次运行EXE文件,这个Trojan.exe文件就会被执行!木马“灰鸽子”就可以关联EXE文件打开方式,而大名鼎鼎的木马冰河采用的是与此相似的一招——关联TXT文件!目前这样的文件关联木马越来越多,有呈普遍化之趋势。当然,木马们更改的打开方式不一定只是EXE或TXT文件,其它文件的打开方式也可以这样修改。
对此的防范方法就是经常检查注册表,看文件打开方式是否发生了变化。如果发生了变化就将打开方式改回来。最好能经常备份注册表,发现问题立即用备份文件恢复注册表,既方便快捷又安全省事。
在注册表HKEY_LOCAL_MACHINE\Soft-ware\Microsoft\Windows\CurrentVersion\Run下可以加载程序,使之开机则自动运行,类似“Run”这样的子键在注册表中还有几处,均以“Run”开头,如RunOnce、RunServices等。其实,除了这几种方法,还有一种修改注册表的方法可以使程序自启动。具体说来就是更改文件的打开方式,这样就可以使程序跟随你打开的那种文件类型一起启动!举个例子,打开注册表,展开注册表到:HKEY_CLASSES_ROOT\exefile\shell\open\command,这里是EXE文件的打开方式,默认键值为:"%1\" %*。如果把默认键值改为:Trojan.exe "%1\" %*,则你每次运行EXE文件,这个Trojan.exe文件就会被执行!木马“灰鸽子”就可以关联EXE文件打开方式,而大名鼎鼎的木马冰河采用的是与此相似的一招——关联TXT文件!目前这样的文件关联木马越来越多,有呈普遍化之趋势。当然,木马们更改的打开方式不一定只是EXE或TXT文件,其它文件的打开方式也可以这样修改。
对此的防范方法就是经常检查注册表,看文件打开方式是否发生了变化。如果发生了变化就将打开方式改回来。最好能经常备份注册表,发现问题立即用备份文件恢复注册表,既方便快捷又安全省事。
