TortoiseSVN多账户 trojan多用户

　前两天在一个E文站点看到一篇关于TROJAN的简单介绍，虽然是属于比较浅显的知识，但是感觉写得还不错，所以翻译其中一小部分给大家共享。

Trojan，这里简称为***。

多数***分为两个部分，客户端和服务端，但是很多***不提供客户端，它们使用通用的telnet作为客户端，或者是它们完全是自动地在做它们要做的事情（比如键盘记录、嗅谈监听等等），完全不需要***者更多地干预。可是，那种客户/服务器式的***则需要***者进行交互式xx作。一旦肉鸡在不知情的情况下运行了***的服务端，***者就可以通过某个端口连接到肉鸡，开始使用***。TCP是最常使用的协议，但是也有一些***使用ICMP和UDP协议。当***的服务端在肉鸡上执行以后，它通常是把自己隐藏在计算机上的某个地方，并且在***者设定的端口开始监听，等待连接。

为了能够连接肉鸡，必须知道肉鸡的IP，有些肉鸡的IP是动态变化的，比如电话拨号用户或者ADSL虚拟拨号用户。很多***具有自动发送肉鸡IP到***者邮箱的功能，或者是通过ICQ或者IRC来发送。

当肉鸡重新启动的时候，绝大多数***都有自启动的方法，这些方法包括：使用注册表、使用windows系统文件、使用第三方程序。

1、使用系统文件启动***

*Autostart Folder 
  
C:\Windows\Start Menu\Programs\startup 
  
这个文件夹是windows启动之后自动运行的文件夹，放在这个下面的任何程序都将自动运行，当机器重新启动的时候。 
  

*Win.ini 
  
如果win.ini中包含下面的，则trojan将自动执行 
  
load=Trojan.exe 
  
run=Trojan.exe 
  

*System.ini 
  
Shell=Explorer.exe trojan.exe 
  
系统启动的时候将自动执行跟在explorer后面的程序 
  

*Wininit.ini 
  
放在该文件下的程序将自动执行，执行完毕后就删除自己，特别适合***自运行使用 
  

*Winstart.bat 
  
机器启动时的自运行批处理文件 
  
@trojan.exe 
  
使用上面这个语句，***就自动运行了 
  

*Autoexec.bat 
  
这个是DOS命令行自运行批处理文件，使用 
  
@trojan.exe 
  

*Config.sys 
  
这里也可以自动加载*** 
  

*Explorer Startup

如果存在c:\explorer.exe，则windows将首先执行该程序，而不是通常要执行的c:\Windows\Explorer.exe，这样***可以把自己改名为explorer.exe，存放在c:\下，这样就执行了它。

2、使用注册表

下面都是***的藏身之地

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] 
  
"Info"="c:\directory\Trojan.exe" 
  
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce] 
  
"Info"="c:\directory\Trojan.exe" 
  
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices] 
  
"Info"="c:\directory\Trojan.exe" 
  
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce] 
  
"Info="c:\directory\Trojan.exe" 
  
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] 
  
"Info"="c:\directory\Trojan.exe" 
  
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce] 
  
"Info"="c:\directory\Trojan.exe"

另外***也可以在这里运行
[HKEY_CLASSES_ROOT\exefile\shell\open\command]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]
正常的情况下，这个键值应该是"%1 %*"，如果是这样trojan.exe "%1 %*"，那么就可以自动启动***了

3、使用第三方程序

*ICQ 网络探测自动执行程序 
  

[HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agent\Apps\]

当ICQ探测到机器存在INTERNET连接的时候，防在该键下的所有程序都将自动执行，***可以放在这里运行。

*ActiveX组件 
  

[HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\InstalledComponents\KeyName] 
  
StubPath=C:\directory\Trojan.exe