@奈良山
2年前 提问
1个回答

木马病毒常用的入侵方法有哪些

齐士忠
2年前
官方采纳

木马病毒常见的入侵方法有以下几种:

  • 在Win.ini文件中加载

Win.ini文件位于C:Windows目录下,在文件的[windows]段中有启动命令run=和load=,一般此两项为空,如果等号后面存在程序名,则可能就是木马程序,应特别当心,这时可根据其提供的源文件路径和功能做进一步检查。

这两项分别是用来当系统启动时自动运行和加载程序的,如果木马程序加载到这两个子项中,系统启动后即可自动运行或加载木马程序。这两项是木马经常攻击的方向,一旦攻击成功,则还会在现有加载的程序文件名之后再加一个自己的文件名或参数,这个文件名也往往是常见文件的,如借command.exe、sys.com等文件来伪装。

  • 加载到注册表中

由于注册表比较复杂,所以很多木马都喜欢隐藏在这里。木马一般会利用注册表中下面的几个子项来加载。

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun-ServersOnce;

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun;

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce;

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun;

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce;

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServers。

  • 修改文件关联

修改文件关联也是木马常用的入侵手段,当用户一旦打开已修改文件关联的文件后,木马也随之被启动,如冰河木马就是利用文本文件(.txt)这类最常见但又最不引人注目的文件格式关联来加载自己,当中了该木马的用户打开文本文件时就自动加载了冰河木马。

  • 设置在超链接中

这种入侵方法主要是在网页中放置恶意代码来引诱用户点击,一旦用户单击超链接,就会感染木马,因此,不要随便单击网页中的链接。

  • 隐藏在启动组中

有时木马并不在乎自己的行踪,而在意是否可以自动加载到系统中。启动组无疑是自动加载运行木马的好场所,其对应文件夹为C:Windowsstartmenupro-gramsstartup。在注册表中的位置是:HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrent VersionExplorershell Folders Startup=”c:Windowsstart menupro-gramsstartup”,要检查启动组。

  • 在System.ini文件中加载

在系统信息文件system.ini中也有一个启动加载项,那就是在【BOOT】子项中的Shell项。在这里木马最惯用的伎俩就是把本应是“Explorer”变成它自己的程序名,名称伪装成几乎与原来的一样,只需稍稍改“Explorer”的字母“I”改为数字“1”,或者把其中的“o”改为数字“0”,这些改变如果不仔细留意是很难被人发现的,这就是我们前面所讲的欺骗性。

当然也有的木马不是这样做的,而是直接把“Explorer”改为别的什么名字,因为有很多用户是不知道这里就一定是“Explorer”,或者在“Explorer”加上点什么东西,加上的那些东西肯定就是木马程序了。