木马的危害性
原创
©著作权归作者所有:来自51CTO博客作者yonghu86的原创作品,请联系作者获取转载授权,否则将追究法律责任
通过媒体的广泛宣传报道,使我们知道了木马的危害性,一个功能强大的木马一旦被植入你的机器,攻击者就可以象操作自己的机器一样控制你的机器,甚至可以远程监控你的所有操作。其实,木马的危害不仅如此,部分木马如文件关联木马,还有其它“副”作用??更改文件关联!特别是手工清除木马后,如果不恢复文件关联,则被关联文件无法打开,许多操作因此不能进行,你说气人不气人? 一、基本概念 1.什么是文件关联 简单地说,就是单击不同类型文件时,在鼠标右键菜单上看到的关联项目。对于已注册的文件,会以不同的图标显示它们,双击它时会启动不同的关联程序,而所有这些设置信息都存放在注册表中,因此,只要掌握其基本结构和各键值项的设置,就能随心所欲地定义文件关联了。 2.文件关联木马 一般木马服务端会把自己复制为两个文件,这里我把文件名定为1号和2号,1号文件是用来当机器开机时立刻运行打开连接端口的,2号文件一般就和TXT或EXE文件打开方式连起来(即关联)!当中木马者发现自己中了木马而在DOS下把1号文件删除后,服务端就暂时被关闭,即木马暂时删除,当他运行“记事本”或任何EXE文件时,隐蔽的2号木马文件被击活再次生成1号文件,即木马又被种入! 二、具体实例分析(我们以大名鼎鼎的木马冰河为例) 冰河就是典型的文件关联木马,只要在配置木马时选中关联文本文档(如图),以后打开文本文档,不是用记事本Notepad.exe打开,而是调用冰河的服务端程序打开,这样木马就被加载运行了(潘多拉的盒子打开了)。如果服务端程序被您手工删除了,在打开文件文档时由于无法找到该程序导致文件无法打开。 如果中了冰河,为了达到自动装载服务端的目的,首先,冰河会在注册表的HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun和RUNSERVICE键值中加上kernl32.exe(“”是系统目录),以便电脑每次启动时加载运行木马(幽灵又出现了……);其次,如果你删除了这个键值,自以为得意地喝著茶的时候,冰河又阴魂不散地出现了!怎么回事?原来冰河的服务端会在c:windows下生成一个叫sysexplr.exe文件(太象超级解霸了,好毒呀,冰河!),这个文件是与文本文件相关联的,它改变了注册表中有关TXT文件的关联,如下:在注册表HKEY_CLASSES_ROOTtxtfileshellopencommand下,将键值改为为C:windowssystemSysexplr.exe%1(正常情况下键值为“Notepad.exe %1”),只要你打开文本文件(哪天不打开几次文本文件?),sysexplr.exe文件就会重新生成krnel32.exe,结果你又被冰河控制了。(冰河就是这样长期霸占著穷苦劳动人民宝贵的系统资源的,555555) 三、文件关联的恢复 方法一、 1.如果在五天以内,可以使用Windows每天开机自己备份的注册表恢复!步骤是:重新启动到DOS下(可不是WINDOWS下的MS-DOS),然后键入Scanreg/Restore,选择离现在日期最近的一个恢复注册表,然后根据提示重新启动即可。 2.如果超过五天,用以前备份过的注册表,导入注册表进行恢复(不会问我怎样导入吧?只要双击以前备份的注册表即可)。 方法二、首先在桌面上打开“我的电脑”,然后在菜单栏选择查看→文件夹选项→文件类型”选择被木马关联的文件类型。以冰河关联的文本文件为例:找到文本文件,看到了吧,打开方式不是Notepad(记事本),而是另外一个程序,赶紧把它改过来,选择“编辑”,点击操作框中的“打开”→“编辑”→“浏览”,找到Notepad,Notepad在Windows目录下,然后点“确定”即可。其它类型根据此方法依次类推。 方法三、直接新建注册表文件导入即可。 ①首先以恢复关联应用程序为例。打开记事本,键入以下值: REGEDIT4 [HKEY_CLASSES_ROOTcomfile] @="MS-DOS 应用程序" "EditFlags"=hex:d8,07,00,00 [HKEY_CLASSES_ROOTcomfileshell] @="" [HKEY_CLASSES_ROOTcomfileshellopen] @="" "EditFlags"=hex:00,00,00,00 [HKEY_CLASSES_ROOTcomfileshellopencommand] @=""%1" %"" [HKEY_CLASSES_ROOTcomfileshellex] [HKEY_CLASSES_ROOTcomfileshellexPropertySheetHandlers] [HKEY_CLASSES_ROOTcomfileshellexPropertySheetHandlers{86F19A00-42A0-1069-A2E9-08002B30309D}] @="" [HKEY_CLASSES_ROOTcomfileDefaultIcon] @="C:WINDOWSSYSTEMshell32.dll,2" 然后保存,另存为以reg为后缀名的注册表文件,双击导入即可!要注意的是,在“REGEDIT4”后面一定要空一行,并且“REGEDIT4”中的“4”和“T”之间一定不能有空格,否则将前功尽弃! ②接下来以恢复关联文本文件为例讲讲。打开记事本,键入以下值: REGEDIT4 [HKEY_CLASSES_ROOTtxtfile] @="文本文档" [HKEY_CLASSES_ROOTtxtfileDefaultIcon] @="shell32.dll,-152" [HKEY_CLASSES_ROOTtxtfileshell] [HKEY_CLASSES_ROOTtxtfileshellopen] [HKEY_CLASSES_ROOTtxtfileshellopencommand] @="Notepad.exe %1" [HKEY_CLASSES_ROOTtxtfileshellprint] [HKEY_CLASSES_ROOTtxtfileshellprintcommand] @="C:WINDOWSNOTEPAD.EXE /p %1" 然后保存,另存为以reg为后缀名的注册表文件,双击导入即可!注意事项如①中所述。 最后建议您,一旦中了木马赶快下线断开连接,然后用杀毒及反黑软件进行查杀(当然手工查杀也可)。对文件关联木马不要忘了检查注册表,看文件关联是否被改变了(TXT,EXE,ZIP,COM,HTM等文件都有可能被木马改变文件关联方式),如果的确是被改变了,就按本文所说的方法试试吧,保管有效哦!
下一篇:BAT批处理文件教程
提问和评论都可以,用心的回复会被更多人看到
评论
发布评论
相关文章
-
木马的危害性
通过媒体的广泛宣传报道,使我们知道了的危害性,一个功能强大的一旦被植入你的机器,者就可以象操作自
windows dos 文档 exe hex -
网站遭到XSS挂马的危害性
大家可能也会遇到过一些情况,比如一些企业网站或流量比较大的网站都会出现被跳转到菠菜违法广告。网页挂马的这种形式
网站被XSS攻击 网站被挂马 迅雷 系统权限 用户信息 -
Web漏洞类型及其危害性的深度解析
例如,通过在URL后面添加恶意路径,攻击者可能直接访问服务器上的配置文件,获取数据库连接字符串等敏感信息。
前端 网络 Web 服务器 应用程序 -
XSS漏洞的危害
从这些示例中可以看到,XSS 攻击可以带来很大的危险,因为它允许攻击者在受害者的浏览器中执行恶意脚本而不被注意。当用户输入用户名并提交
xss 前端 web安全 重定向 用户名