隱形木馬在系統(tǒng)中的打開方式

大家所熟知的木馬程序一般的啟動方式有：加載到“開始”菜單中的“啟動”項、記錄到注冊表的[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]項和[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]項中， 更高級的木馬還會注冊為系統(tǒng)的“服務(wù)”程序， 以上這幾種啟動方式都可以在“系統(tǒng)配置實用程序”(在“開始→運行”中執(zhí)行“Msconfig”)的“啟動”項和“服務(wù)”項中找到它的蹤跡。

　　另一種鮮為人知的啟動方式， 是在“開始→運行”中執(zhí)行“Gpedit.msc”。 打開“組策略”， 可看到“本地計算機策略”中有兩個選項：“計算機配置”與“用戶配置”， 展開“用戶配置→管理模板→系統(tǒng)→登錄”， 雙擊“在用戶登錄時運行這些程序”子項進(jìn)行屬性設(shè)置， 選定“設(shè)置”項中的“已啟用”項并單擊“顯示”按鈕彈出“顯示內(nèi)容”窗口， 再單擊“添加”按鈕， 在“添加項目”窗口內(nèi)的文本框中輸入要自啟動的程序的路徑， 如圖所示， 單擊“確定”按鈕就完成了。

　　添加需要啟動的文件面

　　重新啟動計算機， 系統(tǒng)在登錄時就會自動啟動你添加的程序， 如果剛才添加的是木馬程序， 那么一個“隱形”木馬就這樣誕生了。 因為用這種方式添加的自啟動程序在系統(tǒng)的“系統(tǒng)配置實用程序”是找不到的， 同樣在我們所熟知的注冊表項中也是找不到的， 所以非常危險。

　　通過這種方式添加的自啟動程序雖然被記錄在注冊表中， 但是不在我們所熟知的注冊表的[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]項和[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]項內(nèi)， 而是在冊表的[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]項。 如果你懷疑你的電腦被種了“木馬”， 可是又找不到它在哪兒， 建議你到注冊表的[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]項里找找吧， 或是進(jìn)入“組策略”的“在用戶登錄時運行這些程序”看看有沒有啟動的程序。

　　現(xiàn)在網(wǎng)頁木馬無非有以下幾種方式中到你的機器里

　　1：把木馬文件改成BMP文件， 然后配合你機器里的DEBUG來還原成EXE， 網(wǎng)上存在該木馬20%

　　2：下載一個TXT文件到你機器， 然后里面有具體的FTP^-^作， FTP連上他們有木馬的機器下載木馬， 網(wǎng)上存在該木馬20% 

　　3：也是最常用的方式， 下載一個HTA文件， 然后用網(wǎng)頁控件解釋器來還原木馬。 該木馬在網(wǎng)上存在50%以上

　　4：采用JS腳本， 用VBS腳本來執(zhí)行木馬文件， 該型木馬偷qq的比較多， 偷傳奇的少， 大概占10%左右

　　5：ARP欺騙， 利用ARP欺騙攔截局域網(wǎng)數(shù)據(jù)， 攻擊網(wǎng)關(guān)。 在數(shù)據(jù)包中插入木馬。 解決方案， 安裝arp防火墻。