|
阅读:3612回复:10
启动技术讨论,欢迎大家踊跃发言
众所周知,木马的启动技术一直是限制木马发展的一个重要方面,随着当前恶意程序查杀技术的不断提高,木马的生存空间越来越窄.从另一面来说,一个木马能否存活,很大程度上跟它的启动有关系.在这里,希望大家能积极探索新的启动技术,抛砖引玉,我就把我知道的几种技术列出来,希望大家多讨论:
一、注册表启动 1、Run键 其键位置如下: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run; HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run; 2、RunOnce键 RunOnce键只在用户首次登陆时才运行,其键位置如下: HKEY_LOCAL_MACHINE\ SOFTWARE \Microsoft\Windows\CurrentVersion\RunOnce; 3、RunOnceEx键 这个键值只有windows XP和windows 2003才有,也可以实现自启动: HKEY_ LOCAL _MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx; 4、RunServices键 HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\Windows\CurrentVersion\RunServices; HKEY_ CURRENT_ USER \Software\Microsoft\Windows\CurrentVersion\RunServices; 5、Winlogon键 利用这个键可以实现多个程序的自启动,键位置如下: HKEY_LOCAL_MACHINE\ SOFTWARE \Microsoft\WindowsNT\CurrentVersion\Winlogon; HKEY_CURRENT_ USER \Software\Microsoft\WindowsNT\CurrentVersion\Winlogon; 6、Load键 Load键也可以实现自启动: HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows; 7、其它键值 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad; HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler; 这几个键也能实现自启动,但不是很常用。 二、系统服务 三、自启动目录 自启动目录是用来启动一些应用软件的,它是windows系统中最基本的启动方式,windows系统有两个启动目录,分别是第一启动目录和第二启动目录。 第一启动目录默认位置为: C:\Documents and Setttings\用户名\[开始]菜单\程序\启动\ 对应的注册表位置为: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders; “startup” = “要启动的程序的路径”; 第二启动目录默认位置为: C:\Documents and Settings\All Users\[开始]菜单\程序\启动\ 对应的注册表位置为: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\User Shell Folders; “Common Startup”=“要启动的程序的路径”; 四、系统配置文件 1、 WIN.INI启动 2、 SYSTEM.INI启动 3、 WININIT.INI启动 4、 WINSTART.BAT启动 5、 AUTOEXEC.BAT启动 6、 AutoRun.inf 五、BHO BHO(Browser Helper Objects)即浏览器辅助对象,这是IE的一种插件技术。它能探测到IE的很多事件,比如浏览器地址、生成的新窗口、工具栏的改变等等,并通过对这些事件的响应与浏览器进行交互。当打开基于IE的浏览器时系统就会启动BHO所指向的程序,BHO插件在注册表里保存,注册表里可以保存多个插件,也就是说可以指向多个程序。 我们可以利用BHO随浏览器启动的这个特点,把木马程序注册成BHO插件,这样木马就可以在浏览器启动时加载到浏览器进程中。这种方法不仅解决了木马的启动问题,而且还能有效的绕过防火墙的检测。 六、SPI SPI(Service Provider Interface)即服务提供者接口。我们把木马做到SPI的dll中去,并安装在SPI数据库的最前端,这样就可以实现自启动了。 七、文件绑定 这也是文件启动的一种方法,如果把木马程序绑定到系统文件中,那么windows在运行这个系统文件时,木马程序也会被加载。 八、文件关联 在windows系统中,每种格式的文件都会对应一个打开它的应用程序(如果没有注册某个文件类型关联,系统会提示让用户选择用什么软件打开),这些对应关系的信息是保存在注册表里的,如果我们把木马程序注册为某一种格式的默认打开程序,那当用户打开这种格式的文件时就会运行我们的木马程序,这就是文件关联启动木马的思想。最早的木马“冰河”就是通过这种方式启动的。 九、waiting for you ... ... |
|
|
沙发#
发布于:2007-07-03 20:48
引用第0楼0h0h0h008于2007-07-03 18:04发表的 启动技术讨论,欢迎大家踊跃发言 : App_initall键dll start |
|
|
板凳#
发布于:2007-07-17 16:04
好像还有一个注册表,但我不记得了,好像有一个cmd之类的,和run非常像
|
|
|
地板#
发布于:2007-07-17 21:16
在华夏论坛里黑客守卫者提到过一种启动方法,patch boot0,不过具体怎么实现就不知道了。不知道老V和xyzreg两位大牛会不会知道?愿不愿意放血?
 |
|
|
|
地下室#
发布于:2007-07-30 14:46
学习啦~哪位大牛来点诡异点的启动方法
|
|
|
5楼#
发布于:2007-07-30 22:56
目前,我的马的启动方式是插入空白段,这样最大的好处是不用写注册表,而且没有启动项..要不是我自己写的,我也查不出来.
数据传输用驱动封包,这样一般的如瑞星防火墙就是查不出了.当然遇上ZA就不好说话了..呵呵 |
|
|
6楼#
发布于:2007-07-30 23:19
dfsy0427,呵,方便的话,丢个执行文件上来。。嘻,准备好IDA了
 |
|
|
|
7楼#
发布于:2007-08-24 09:57
我的马不写注册表,一般隐藏在系统启动目录里面!用bat调用启动自身!
 |
|
|
8楼#
发布于:2007-08-24 21:31
ActiveX
|
|
|
|
9楼#
发布于:2007-09-02 12:53
引用第8楼wingsoft于2007-08-24 21:31发表的 : 这个用SReng很容易扫出来,还有一步江湖也写过一个ActiveXScan,不保险。 |
|
|
|
10楼#
发布于:2007-09-04 07:31
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\run]
"notepad"="notepad.exe" |
|