木马病毒常用的入侵方法有哪些


发现错别字 1个月前 提问
回答
1
浏览
165
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!
等保中级测评师 CICSA
最佳答案

木马程序千变万化,但大多数木马程序并没有特别的功能,入侵方法大致相同。常见的入侵方法有以下几种。

1. 在Win.ini文件中加载

Win.ini文件位于C:Windows目录下,在文件的[windows]段中有启动命令run=和load=,一般此两项为空,如果等号后面存在程序名,则可能就是木马程序,应特别当心,这时可根据其提供的源文件路径和功能做进一步检查。

这两项分别是用来当系统启动时自动运行和加载程序的,如果木马程序加载到这两个子项中,系统启动后即可自动运行或加载木马程序。这两项是木马经常攻击的方向,一旦攻击成功,则还会在现有加载的程序文件名之后再加一个自己的文件名或参数,这个文件名也往往是常见文件的,如借command.exe、sys.com等文件来伪装。

2. 在System.ini文件中加载

System.ini位于C:Windows目录下,其[boot]字段的shell=Explorer.exe是木马喜欢的隐藏加载地方。如果shell=Explorer.exe file.exe,则file.exe就是木马服务端程序。

另外,在System.ini中的[386Enh]字段中,要注意检查字段内的driver=路径程序名也有可能被木马所利用。再有就是System.ini中的“mic”“drivers”“drivers32”这3个字段,也是起加载驱动程序的作用,但也是增添木马程序的好场所。

3. 隐藏在启动组中

有时木马并不在乎自己的行踪,而在意是否可以自动加载到系统中。启动组无疑是自动加载运行木马的好场所,其对应文件夹为C:Windowsstartmenupro-gramsstartup。在注册表中的位置是:HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrent VersionExplorershell Folders Startup=”c:Windowsstart menupro-gramsstartup”,要检查启动组。

4. 加载到注册表中

由于注册表比较复杂,所以很多木马都喜欢隐藏在这里。木马一般会利用注册表中下面的几个子项来加载。

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun-ServersOnce;

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun;

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce;

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun;

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce;

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServers。

5. 修改文件关联

修改文件关联也是木马常用的入侵手段,当用户一旦打开已修改文件关联的文件后,木马也随之被启动,如冰河木马就是利用文本文件(.txt)这类最常见但又最不引人注目的文件格式关联来加载自己,当中了该木马的用户打开文本文件时就自动加载了冰河木马。

6. 设置在超链接中

这种入侵方法主要是在网页中放置恶意代码来引诱用户点击,一旦用户单击超链接,就会感染木马,因此,不要随便单击网页中的链接。

回答所涉及的环境:联想天逸510S、Windows 10。

1个月前 / 评论
回答数量: 1