電腦木馬病毒如何執行

  木馬病毒是隨計算機或Windo。的啟動而啟動並掌握一定的控制權的,有很多種啟動方式,通過登錄檔啟動、通過System. ini啟動、通過某些特定程式啟動等,眼花繚亂,很難防範。下面是小編收集整理的,希望對大家有幫助~~

  電腦木馬病毒執行

  工具/原料

  通過登錄檔啟動、通過System. ini啟動

  步驟/方法

  1通過開始程式啟動:這種方式最常見,就像一般的軟體設定開機啟動是一樣的,比方說,騰訊QQ就是用這種方式實現自啟動的。不過如今的木馬一般不會用這種方式了,因為出現在“開始”選單的“啟動”中很容易被發現行蹤而被處理掉。

  2通過登錄檔啟動

  通過登錄檔啟動分為三種,各種的具體設定如下所示:

  .通過HKEY _ CURRENT _ USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Hun ,

  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run和HKEY_

  LOCAL-MACHINE \Software \ Microsoft \ W indows \CurrentVersion \ RunServiceso

  常用木馬:BO2000, GOP, NetSpy, lEthief,冰河等。

  通常木馬會用這種方式,設定簡單,不過也是會被發現的。正式因為使用的太多,所以一說到木馬,就會聯想到登錄檔中的主鍵,通常木馬會使用最後一個,使用Windows自帶的程式msconfig或登錄檔編輯器***regedit. exe***都可以將其輕而易舉地刪除,可見這也不是一種可靠的方法。但是,現在也有了改進,我們可以在木馬程式中加一個時問控制元件,實時監視登錄檔中自身的啟動鍵值是否存在,一旦發現被刪除,則立即重新寫人,來保證下次Windows啟動時能被執行,這樣木馬程式和登錄檔中的啟動鍵值之間就形成了一種互相保護的狀態。木馬程式未中止,啟動鍵值就無法刪除***手工刪除後木馬程式又自動新增上了***,相反的,不刪除啟動鍵值,下次啟動Windows還會啟動木馬。破解方法:首先,以安全模式啟動 Windows,此時Windows不會載入登錄檔中的項Ei ,因此木馬不會被啟動,相互保護的狀況也就不攻自破了。然後,就可以刪除登錄檔中的鍵值和相應的木馬程式了。通過HKEY_LOCAL_MACHINE \Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce,HKEY_ CURRENT_ USER\Software\Microsoft\Windows \CurrentVersion \ RunOnce和HKEY_ LO-CAL_MACHINE\Software\ Microsoft \Windows \CurrentVersion \ RunServices Once,,

  常用木馬:Happy99,,

  這是一種很少使用的方法,可是隱蔽性很強,並且也不會在msconfig _r留下蹤跡。在這個鍵值下的專案和上一種相似,會在Windows啟動時啟動,但Windows啟動後,該鍵值下的專案會被清空,因而不易被發現,但是隻能啟動一次。還有一種方法,不是在啟動的時候加而是在退出Windows的時候,這要求木馬程式本身要截獲Windows的訊息,當發現關閉Windows訊息時,暫停關閉過程,添加註冊表專案,然後才開始關閉Windows,這樣用Regedit也找不到它的蹤跡了。這種方式也有一個不完美的地方,就是一旦Windows異常中止***對於Windows9x這是經常的***,木馬也就失效了。

  上面的三種方式各自有各自的特點,通常木馬會選擇第一個鍵值,因為在第二個鍵值下的專案會在Windows啟動完成前執行,並等待程式結束才會繼續啟動Windows

  3通過autoexec. bat,winstart. bat或confg.sys檔案:其實這種方法並不適合木馬使用,因為該檔案會在Windows啟動前執行,這時系統處於DOS環境,只能執行16位應用程式,Window,下的32位程式是不能執行的。木馬此時也就失效了,可是仍然要防範,因為木馬的偽裝就是要做到讓你無從下手

  4通過System. ini檔案:事實上,System. ini檔案並沒有給使用者可用的啟動專案,然而通過它啟動卻是非常好用的。在System. ini檔案的“Boot”域中的Shell項的值正常情況下是" explorer. exe",這是Windows的外殼程式,換一個程式就可以徹底改變Windows的面貌***如改為progman. exe就可以讓Windows 9x變成Windows 3. x***。還可以在“explorer. exe”後加上木馬程式的路徑,這樣Windows啟動後木馬也就隨之啟動,而且即使是安全模式啟動也不會跳過這一項,這樣木馬也就可以保證永遠隨Windows啟動了

  5寄生於特定程式之中

  即木馬和正常程式捆綁,有點類似於病毒,程式在執行時,木馬程式先獲得控制權或另開一個執行緒以監視使用者操作、擷取密碼等,這類木馬編寫的難度較大,需要了解PE檔案結構和Windows的底層知識

  6將特定的程式改名

  QQ是這類木馬最多的寄主,比方說,將QQ的啟動檔案QQ2000b. exe改為QQ2000b.ico. exe,再將木馬程式改為QQ2000b. exe。這樣以後,一旦使用者執行“QT , QQ木馬也就運行了,然後才由QQ木馬去啟動真正的QQ

  7檔案關聯:一般情況下木馬程式會將自己和TXT檔案或EXE檔案關聯,這樣當開啟

  一個文字檔案或執行一個程式時,木馬也就偷偷地啟動了

最近訪問