木马的隐藏技术可以利用操作系统的哪些方面实现,木马在哪个位置
木马程序通常称为木马、恶意代码等。是指潜伏在计算机中,可以被外部用户控制,窃取本地信息或控制权的程序。特洛伊木马指的是特洛伊木马,英文叫“特洛伊木马”,名字取自希腊神话中的特洛伊木马。
木马程序带来的危害很多,比如占用系统资源、降低电脑效率、危害本机信息安全(盗取QQ账号、游戏账号甚至银行账号)、利用本机作为攻击其他设备的工具等。
木马是一种很多用电脑的人都不想看到的电脑文件。它影响了我们网络资产的安全,影响了我们电脑的运行速度,影响了我们正常的隐私保护。事实上,在使用电脑的过程中,只要我们注意它们存在的地方,木马就无处藏身。
今天,边肖为大家整理了十大容易隐藏木马的地方。希望能帮到你。如果有高手发现了更好的,可以给我们留言,分享给我们,一起对抗木马。共同保护网民的安全。
1、内置注册表
上面的方法让木马真的舒服了一段时间,因为没有人能找到它,它可以自动运行。然而好景不长,人们很快就把它拔了出来。木马在总结了失败的教训后,以为上面的藏身之处很容易被发现,现在肯定躲在一个不容易被发现的地方,于是想到了注册表!的确,由于注册表的复杂性,木马往往喜欢藏在这里。赶紧查一下,看看下面有哪些程序:“HKEY _ Local _ machinesoftwaremicrosoftwindowscurentversion”所有以“run”开头的键值;HKEY _用户下所有带“运行”开关的键值。
2.在System.ini中隐藏
特洛伊人无处不在!哪里有漏洞,哪里就有漏洞!Windows安装目录下的System.ini也是木马喜欢藏身的地方。小心,打开这个文件,看看它和正常文件有什么不同。看看这个文件的[boot]字段中是否有这样的内容,即shell=explorer.exefile.exe。如果有这样的内容,那么你将是不幸的,因为这里的File.exe是木马服务器程序!此外,在System.ini中的[386Enh]字段中,注意该部分中的“driver=pathname ”,它也可能被特洛伊木马利用。还有,在System,ini中的[mic]、[drivers]和[driver32]三个字段中,ghost xp也可以起到加载器的作用,也是添加木马程序的好地方,要注意。
3.潜伏在Win.ini中
木马必须运行才能控制或者监控电脑,但是没有人会傻到在自己的电脑里运行木马。当然,木马也是有心理准备的,一定要找一个安全的,系统启动时能自动运行的地方,所以潜伏在Win.ini里是木马比较舒服的地方。你不妨打开Win.ini看看。在其[Windows]字段中,有启动命令“load=”和“run=”。一般情况下,“=”是空白的。如果后面有一个程序,比如它看起来是这样的:“run=c:Windowsfile.exe load=c:windows file . exe”。这个时候,你就要小心了。这个“file.exe”很可能是
4.隐藏在配置文件中
木马太狡猾了,不知道有些人平时用的操作系统都是System Home的图形界面,对那些不再很重要的配置文件大多视而不见,这正好给木马提供了藏身之地。而且,利用配置文件的特殊功能,木马可以很容易地在多台计算机中运行和攻击,从而窃取或监控受害者。不过现在这种方法并不是很隐蔽,容易被发现,所以在Autoexec.bat和Config.sys中加载木马程序的情况很少,但也不可掉以轻心。
5、融入程序
实际上,特洛伊木马也是一种服务器-客户端程序。为了防止用户轻易删除,往往会集成到程序中。一旦用户激活木马程序,木马文件就会捆绑一个应用程序,然后上传到服务器覆盖原文件,这样即使删除了木马,只要运行捆绑木马的应用程序,木马就会重新安装。如果与系统下载文件绑定,每次Windows启动都会启动木马。
6.伪装在普通文件中
这种方法出现的比较晚,但是ghost xp现在很流行,不熟练的Windows操作人员很容易上当。具体方法是将可执行文件伪装成图像文本——将图标改为程序中Windwos默认的图像图标,然后将文件名改为“*.jpg.exe”。由于默认设置是“不显示已知的文件扩展名”,该文件将显示为“*”。jpg”。任何一个不注意的人点击这个图标都会中木马(如果程序中嵌入了图片就更完美了)。
7.在超链接中设置。
木马主人在网页上放置恶意代码引诱用户点击,用户点击的结果不言而喻。建议人们不要点击在线链接。
8.隐藏在Winstart.bat中
按照上面的逻辑理论,木马喜欢待在能自动加载的地方。Winstart.bat也是一个可以被Windows自动加载运行的文件。大多数情况下是由应用程序和系统home自动生成的,在Win.com执行完毕,大部分驱动程序加载完毕后才开始执行(这个可以通过启动时按F8键,然后选择跟踪启动过程的启动模式来了解)。由于Autoexec.bat的功能可以被Winstart.bat替代,木马可以像在Autoexec.bat中一样加载运行,危险由此而生。
9.在启动组中不可见。
有时候木马并不关心它的去向,它更关注的是能不能自动加载到系统下载,因为木马一旦加载到系统中,无论你用什么方法都催不了它。所以按照这个逻辑,启动组也是木马藏身的好地方,因为这里确实是自动加载运行的好地方。启动组对应的文件夹是:“C:Windows StartmenProgramsStartup”,在注册表中的位置是HKEY _当前_用户软件微软Windows当前版本xplorershellfolders startup=" C:Windows startmenupprograms startup "。始终检查启动组。
10,捆绑在启动文件中。
即应用程序的启动配置文件。控制端利用这些文件启动程序,并将带有木马启动命令的同名文件上传到服务器,对同名文件进行覆盖,从而达到启动木马的目的。