让病毒或木马自动运行的多种技术[借鉴]

网络时代可不太平，谁没有遭遇过病毒或木马？从CIH 、I Love You 到红色代码、 Nimda，从 BO 到冰河， 无一不是网友经常懈逅的对象。怎么避免这些“ 艳遇 ” 是广大用户孜孜以求的目标，不过，“ 道高一尺，魔高 一丈 ” ，“ 防” 永远是落后的，主动消灭它们才是积极主动的。 要消灭它们，首先就要掌握病毒及木马是怎么入侵我们的爱机 的。有关病毒及木马的入侵招数的文 章很多，但都不太全面，编者偶然间发现了一篇作者不详，但内容颇为全面的文章，特意整理出来，希望 对大家有所帮助。 一、修改批处理 很古老的方法，但仍有人使用。一般通过修改下列三个文件来作案： Autoexec.bat(自动批处理，在引导系统时执行) Winstart.bat(在启动 GUI 图形界面环境时执行) Dosstart.bat(在进入 MS-DOS 方式时执行 ) 例如：编辑 C:windowsDosstart.bat ，加入： start Notepad，当你进入 “MS -DOS 方式 ” 时，就可以看到记 事本被启动了。 二、修改系统配置 常使用的方法，通过修改系统配置文件System.ini、Win.ini 来达到自动运行的目的，涉及范围有： 在 Win.ini 文件中： windows load=程序名 run=程序名 在 System.ini 文件中： boot shell=Explorer.exe 其中修改System.ini 中 Shell 值的情况要多一些，病毒木马通过修改这里使自己成为Shell，然后加载 Explorer.exe，从而达到控制用户电脑的目的。 三、借助自动运行功能 这是黑客最新研发成果，之前该方法不过被发烧的朋友用来修改硬盘的图标而已，如今它被赋予了新 的意义，黑客甚至声称这是Windows 的新 BUG。 Windows 的自动运行功能确实很烂，早年许多朋友因为自动运行的光盘中带有CIH 病毒而中招，现在 不少软件可以方便地禁止光盘的自动运行，但硬盘呢？其实硬盘也支持自动运行，你可尝试在D 盘根目录 下新建一个 Autorun.inf ，用记事本打开它，输入如下内容： autorun 1 / 4 open=Notepad.exe 保存后进入 “ 我的电脑 ” ，按 F5 键刷新一下，然后双击D 盘盘符，怎么样？记事本打开了，而D 盘却 没有打开。 当然，以上只是一个简单的实例，黑客做得要精密很多，他们会把程序改名为“ .exe”(不是空格，而 是中文的全角空格， 这样在 Autorun.inf 中只会看到 “open= ” 而被忽略， 此种行径在修改系统配置时也常使 用，如 “run= ” ；为了更好地隐藏自己，其程序运行后，还会替你打开硬盘，让你难以查觉。 由此可以推想，如果你打开了D 盘的共享，黑客就可以将木马和一个Autorun.inf存入该分区，当 Windows 自动刷新时，你也就“ 中奖 ” 了，因此，大家千万不要共享任何根目录，当然更不能共享系统分区 （一般为 C:） 。 四、通过注册表中的Run 来启动 很老套的方法，但80%的黑客仍在使用，通过在Run、 RunOnce、 RunOnceEx、RunServices、 RunServicesOnce 中添加键值，可以比较容易地实现程序的加载，黑客尤其方便在带”Once”的主键中作手脚， 因此带 “Once ” 的主键中的键值，在程序运行后将被删除，因此当用户使用注册表修改程序查看时，不会发 现异样。另外，还有这样的程序：在启动时删除Run 中的键值，而在退出时（或关闭系统时）又添加键值， 达到隐蔽自己的目的。(这种方法的缺点是：害怕恶意关机或停电，呵呵！) 五、通过文件关联启动 很受黑客喜爱的方式，通过EXE 文件的关联 (主键为： exefile)，让系统在执行任何程序之前都运行木 马，真的好毒！通常修改的还有txtfile( 文本文件的关联，谁不用用记事本呢？)、regfile( 注册表文件关联， 一般用来防止用户恢复注册表，例如让用户双击.reg 文件就关闭计算机)、unkown(未知文件关联 )。为了防 止用户恢复注册表，用此法的黑客通常还连带谋杀scanreg.exe 、sfc.exe、Extrac32.exe、regedit.exe 等程序， 阻碍用户修复。六、通过 API HOOK启动 这种方法较为高级，通过替换系统的DLL 文件，让系统启动指定的程序。例如：拨号上网的用户必须 使用 Rasapi32.dll 中的 API 函数来进行连接， 那么黑客就会替换这个DLL ，当用户的应用程序调用这个API 函数，黑客的程序就会先启动，然后调用真正的函数完成这个功能（特别提示：木马可不一定是EXE，还 可以是 DLL 、VXD ） ，这样既方便又隐蔽（不上网时根本不运行）。中此绝毒的虫子，只有两种选择：Ghost 或重装系统，幸好此毒廖廖无几，实属万虫之幸！ API 的英文全称为： Application Programming Interface ，也就是应用程序编程接口。在Windows 程序设 计领域发展初期， Windows 程序员所能使用的编程工具唯有API 函数，这些函数是Windows 提供给应用程 序与操作系统的接口，他们犹如“ 积木块 ” 一样，可以搭建出各种界面丰富，功能灵活的应用程序。所以可 以认为 API 函数是构筑整个Windows 框架的基石，在它的下面是Windows 的操作系统核心，而它的上面 则是所有华丽的Windows 应用程序。 七、通过 VXD 启动 此法也是高手专用版，通过把木马写成VXD形式加载，直接控制系统底层，极为罕见。它们一般在 2 / 4 注册表 HKEY_ LOCAL_MACHINESystemCurrentControlSetServicesVxD主键中启动， 很难发觉， 解决方 法最好也是用Ghost 恢复或重新干净安装。 八、通过浏览网页启动 通过此种途径有两种方法： 利用 MIME漏洞：这是2001 年黑客中最流行的手法，因为它简单有效，加上宽带网的流行，令用户 防不胜防，想一想，仅仅是鼠标变一下“ 沙漏 ” ，木马就安装妥当，Internet 真是太 “ 方便 ” 了！不过今年有所 减少，一方面许多人都改用IE6.0 ；另一方面，大部分个人主页空间都不允许上传.eml 文件了。 MIME 被称为多用途Internet 邮件扩展 （Multipurpose Internet Mail Extensions ） ，是一种技术规范， 原用 于电子邮件，现在也可以用于浏览器。MIME对邮件系统的扩展是巨大的，在它出现前，邮件内容如果包 含声音和动画，就必须把它变为ASCII 码或把二进制的信息变成可以传送的编码标准，而接收方必须经过 解码才可以获得声音和图画信息。MIME提供了一种可以在邮件中附加多种不同编码文件的方法，这与原 来的邮件是大大不同的。而现在MIME 已经成为了HTTP 协议标准的一个部分。 九、利用 Java applet 划时代的Java 更高效、更方便 不过是悄悄地修改你的注册表，让你千百次地访问黄(黑)色网站， 让你关不了机，让你 ，还可以让你中木马。这种方法其实很简单，先利用HTML 把木马下载到你的缓 存中，然后修改注册表，指向其程序。 十、利用系统自动运行的程序 这一条主要利用用户的麻痹大意和系统的运行机制进行，命中率很高。在系统运行过程中，有许多程 序是自动运行的，比如：磁盘空间满时，系统自动运行“ 磁盘清理 ” 程序 (cleanmgr.exe)；启动资源管理器失 败时，双击桌面将自动运行“ 任务管理器 ” 程序 (Taskman.exe)；格式化磁盘完成后，系统将提示使用“ 磁盘扫 描” 程序 (scandskw.exe)；点击帮助或按F1 时，系统将运行Winhelp.exe 或 Hh.exe 打开帮助文件；启动时， 系统将自动启动 “ 系统栏 ” 程序 (SysTray.exe)、“ 输入法 ” 程序 (internat.exe)、“ 注册表检查 ” 程序 (scanregw.exe)、 “ 计划任务 ” 程序 (Mstask.exe)、“ 电源管理 ” 程序等。 这为恶意程序提供了机会，通过覆盖这些文件，不必修改任何设置系统就会自动执行它们！而用户在 检查注册表和系统配置时不会引起任何怀疑，例如“ 注册表检查 ” 程序的作用是启动时检查和备份注册表， 正常情况不会有任何提示，那么它被覆盖后真可谓是“ 神不知、鬼不觉 ” 。当然，这也许会被“ 系统文件检查 器” 检查（但勤快的人不多）出来。 黑客还有一高招 “ 偷天换日 ” ！不覆盖程序也可达到这个目的，方法是：利用System 目录比Windows 目录优先的特点，以相同的文件名，将程序放到System 目录中。你可以试试，将Notepad.exe(记事本 )复制 到 System 目录中，并改名为Regedit.exe(注册表编辑器 )，然后从 “ 开始 ”“运行 ” 中，输入 “Regedit ”回车， 你会发现运行的竟然是那个假冒的Notepad.exe！同样，如果黑客将程序放到System 中，然后在运行时调 用真正的Regedit，谁知道呢？ (这种方法由于大部分目标程序不是经常被系统调用，因此常被黑客用来作 为被删除后的恢复方法，如果某个东东被删除了又出现，不妨检查检查这些文件。) 十一、还有什么“ 高招 ” 3 / 4 黑客还常常使用名字欺骗技术和运行假象与之配合。名字欺骗技术如上述的全角空格主文件名“ .exe” 就是一例，另外常见的有在修改文件关联时，使用“ ”（ASCII 值 255，输入时先按下Alt 键，然后在小键盘 上输入255）作为文件名，当这个字符出现在注册表中时，人们往往很难发现它的存在。此外还有利用字 符相似性的，如：“Systray.exe ”和 “5ystray ”(5 与大写S 相似 )；长度相似性的，如：“Explorer.exe ”和 “Explore.exe”(后者比前者少一个字母，心理学实验证明，人的第一感觉只识别前四个字母，并对长度不敏 感)；运行假象则是指运行某些木马时，程序给出一个虚假的提示来欺骗用户。一个运行后什么都没有的程 序，地球人都知道不是什么好东西；但对于一个提示“ 内存不足的程序，恐怕还在埋怨自己的内存太少哩！ 4 / 4