替換系統(tǒng)服務(wù)完成木馬自打開的方法

1. 在Win.ini中啟動(dòng)

在Win.ini的[windows]字段中有啟動(dòng)命令"load＝"和"run＝"， 在一般情況下 "＝"后面是空白的， 如果有后跟程序， 比方說(shuō)是這個(gè)樣子：

run=c:\windows\file.exe

load=c:\windows\file.exe

要小心了， 這個(gè)file.exe很可能是木馬哦。

2.在System.ini中啟動(dòng)

System.ini位于Windows的安裝目錄下， 其[boot]字段的shell=Explorer.exe是木馬喜歡的隱藏加載之所， 木馬通常的做法是將該何變?yōu)檫@樣:shell=Explorer.exefile.exe。 注意這里的file.exe就是木馬服務(wù)端程序!

另外， 在System.中的[386Enh]字段， 要注意檢查在此段內(nèi)的"driver＝路徑\程序名"這里也有可能被木馬所利用。 再有， 在System.ini中的[mic]、[drivers]、[drivers32]這3個(gè)字段， 這些段也是起到加載驅(qū)動(dòng)程序的作用， 但也是增添木馬程序的好場(chǎng)所， 現(xiàn)在你該知道也要注意這里嘍。

3.利用注冊(cè)表加載運(yùn)行

如下所示注冊(cè)表位置都是木馬喜好的藏身加載之所， 趕快檢查一下， 有什么程序在其下。

4.在Autoexec.bat和Config.sys中加載運(yùn)行

請(qǐng)大家注意， 在C盤根目錄下的這兩個(gè)文件也可以啟動(dòng)木馬。 但這種加載方式一般都需要控制端用戶與服務(wù)端建立連接后， 將己添加木馬啟動(dòng)命令的同名文件上傳到服務(wù)端覆蓋這兩個(gè)文件才行， 而且采用這種方式不是很隱蔽。 容易被發(fā)現(xiàn)， 所以在Autoexec.bat和Confings中加載木馬程序的并不多見， 但也不能因此而掉以輕心。

5.在Winstart.bat中啟動(dòng)

Winstart.bat是一個(gè)特殊性絲毫不亞于Autoexec.bat的批處理文件， 也是一個(gè)能自動(dòng)被Windows加載運(yùn)行的文件。 它多數(shù)情況下為應(yīng)用程序及Windows自動(dòng)生成， 在執(zhí)行了Windows自動(dòng)生成， 在執(zhí)行了Win.com并加截了多數(shù)驅(qū)動(dòng)程序之后

開始執(zhí)行 (這一點(diǎn)可通過(guò)啟動(dòng)時(shí)按F8鍵再選擇逐步跟蹤啟動(dòng)過(guò)程的啟動(dòng)方式可得知)。 由于Autoexec.bat的功能可以由Witart.bat代替完成， 因此木馬完全可以像在Autoexec.bat中那樣被加載運(yùn)行， 危險(xiǎn)由此而來(lái)。