どのようにファイルの関連と設定名を利用しますか?
3592 ワード
木馬の文書関連の利用
私達は知っています。レジストリHKEY_にあります。LOCAL_MACHINE Software Microsoft Windows Currenent Version Runの下でプログラムをロードし、起動時に自動的に実行させることができます。「Run」のようなサブキーはレジストリの中にまだいくつかあります。Run Once、RunServicesなどのように「Run」で始まります。このような方法以外に、レジストリを修正する方法もプログラムを自動的に起動させることができます。
具体的には、ファイルの開き方を変更することで、開いているファイルの種類に従ってプログラムを起動させることができます。例えば、レジストリを開けて、レジストリをHKEY_に展開する。CLASSES_ROOTexefileshell ここでは、exeファイルの開き方です。標準キーは「%1」です。デフォルトのキー値をTrojan.exe%1に変更すると、exeファイルを実行するたびに、このTrojan.exeファイルが実行されます。木馬灰ハトは関連exeファイルの開け方を採用しています。有名な木馬氷河は同じくこのような方法を採用しています。
このような隠し方法に対しては、主にレジストリを常にチェックし、ファイルの開け方が変化しているかどうかを確認します。もし変わったら、開け方を変えます。よくレジストリをバックアップして、問題を発見したらすぐにバックアップファイルでレジストリを回復してください。便利で、速くて、安全で、手間が省けます。
木馬の設備名の利用
Windowsの下ではデバイスでファイルやフォルダの名前を付けることができません。これらのデバイス名は主にaux、comp 1、comp 2、prn、con、nulなどがありますが、Windows 2000/XPの穴があります。設備で名来のファイルやフォルダを命名できます。木馬はそこに隠れていて、発見されません。
具体的な方法は、「スタート」メニューの「実行」をクリックして、cmd.exeを入力し、車を返してコマンドの表示ウィンドウに入り、mdを入力します。 c:con\コマンドは、conというディレクトリを作成することができます。デフォルトではWindowsはこのようなディレクトリを作成できません。Windowsの脆弱性を利用してこのディレクトリを作成することができます。またmdを入力してみます c:aux\コマンドは、auxディレクトリを作成し、mdを入力することができます。 c:prn\はprnディレクトリを作成し、mdを入力することができます。 c:comp 1\カタログはComp 1のディレクトリを作成できますが、mdを入力してください。 c: nul\はnulというディレクトリを作ることができます。資源管理器の中で順次クリックしてみたら、auxまたはcomp 1という名前のフォルダを開けようとしたら、explorer.exeは応答を失いました。多くの「牧馬人」はこの方法を利用して木馬をこのような特殊なフォルダに隠して隠して木馬を保護する目的です。
今、私達はこの特殊なディレクトリにファイルをコピーすることができます。もちろん、Windowsで直接コピーすることはできません。特殊な方法を採用して、CMDウィンドウでcopyを入力します。 mma.exe \.c:aux\コマンドは、木馬ファイルmuma.exeをCドライブのauxフォルダにコピーし、「スタート」メニューの「実行」をクリックして、「実行」にc:auxを入力します。 muam.exeでは、この木馬を起動することに成功します。フォルダ名をクリックしてこのような特別なディレクトリに入ることができますが、もしリソースマネージャから削除しようとしたら、これはまったく無駄です。Windowsはこのファイルが見つかりません。
使用delによる c:aux\命令はその中のmma.exeファイルを削除することができます。だから、より良い隠蔽と保護効果を達成するために、木馬者はmma.exeファイルを改名します。削除しにくいです。具体的な方法は木馬ファイルをauxフォルダにコピーする時にコマンドコピーを使うということです。 mma.exe \.c:con.exeでは、木馬ファイルmma.exeをauxディレクトリにコピーして、con.exeと改名しますが、con.exeファイルは普通の方法で削除できません。
このコン.exeファイルは「スタート」メニューの「実行」では実行できないと思う友達がいるかもしれません。そうではないです。コマンドラインでcmdを入力すればいいです。 /c \.c:conはこのプログラムを実行できます。運行時にはcmdウィンドウが点滅しています。トロイの木馬者は一般的にそれを改善しています。方法はたくさんあります。ブートスクリプトを利用してもいいです。cmd.exeのautrunを利用してもいいです。レジストリにあります。
HKEY_LOCAL_ MACHINESoff ware Microsoft Command Processorの下にAutoRunという文字列を作ります。値は実行します。batファイルまたは.cmdファイルのパスです。c:wintファイルのようです。 system 32 atot.cmdは、該当する文書を作成すれば、その内容は@\.c:conであり、隠れた効果を達成することができる。
このような特殊なフォルダに対して、発見したら下記の方法で削除できます。まずdelを使います。 \.c:con.exeコマンドはcon.exeファイルを削除します。(このファイルはその中の木馬ファイル名を仮定しています。)そして、カードを使います。 \.c:auxコマンドはauxフォルダを削除すればいいです。
木馬のAutoRunへの利用
AutoRunは光ディスクに適用できるだけでなく、ハードディスクにも適用できる(AutoRun.infはディスクのルートディレクトリに保存してこそ機能する)。AutoRun.infファイルの内容を一緒に見ましょう。
メモ帳を開き、新しいファイルを作成し、AutoRun.infと名づけ、AutoRun.infに以下の内容を入力します。
[AutoRun]
Icon=C:Windows System Shell 32.DLL、21
Open=C:Program FilesACDSee.DSee.exe
その中で、「AutoRun」は固定フォーマットであり、標準的なAutoRunファイルはその先頭を切る必要があり、その目的は、次のコマンドを実行するシステムに伝えることである。2行目の「Icon=C:Windows System Shell 32.DLL,21」はハードディスクや光ディスクに個性的なアイコンを設定するもので、「Shell 32.DLL」は多くのWindowsアイコンを含むシステムファイルで、「21」は表示番号が21のアイコンを表し、数字がない場合はデフォルトではファイルの最初のアイコンを採用する。3行目「Open=C:Program」 FilesACDSee ACDSee.exe」は、プログラムを実行する経路とファイル名を指摘しています。
Open行を木馬ファイルに変更すると、このAutoRun.infファイルを隠し属性に設定します。ハードディスクをクリックすると木馬が起動します。
このような「待ち伏せ」を防ぐために、ハードディスクAutoRun機能を禁止することができます。「開始」メニューの「運転」にRegeditを入力し、レジストリエディタを開いてHKEY_に展開します。CURRENT_US ER Software Microsoft Windows Currenent Version Policies Exploerキーの下、右側のウィンドウに「NoDrive Type AutoRun」というのがあります。それはCD ROMやハードディスクのAutoRun機能を実行するかどうかを決定します。そのキーの値を9 Dに変更すると、00,00はハードディスクのAutoRun機能をオフにできます。B 5,00,00,00,00に変更すると、ディスクのAutoRun機能が禁止されます。修正してコンピュータを再起動すると設定が有効になります。
私達は知っています。レジストリHKEY_にあります。LOCAL_MACHINE Software Microsoft Windows Currenent Version Runの下でプログラムをロードし、起動時に自動的に実行させることができます。「Run」のようなサブキーはレジストリの中にまだいくつかあります。Run Once、RunServicesなどのように「Run」で始まります。このような方法以外に、レジストリを修正する方法もプログラムを自動的に起動させることができます。
具体的には、ファイルの開き方を変更することで、開いているファイルの種類に従ってプログラムを起動させることができます。例えば、レジストリを開けて、レジストリをHKEY_に展開する。CLASSES_ROOTexefileshell ここでは、exeファイルの開き方です。標準キーは「%1」です。デフォルトのキー値をTrojan.exe%1に変更すると、exeファイルを実行するたびに、このTrojan.exeファイルが実行されます。木馬灰ハトは関連exeファイルの開け方を採用しています。有名な木馬氷河は同じくこのような方法を採用しています。
このような隠し方法に対しては、主にレジストリを常にチェックし、ファイルの開け方が変化しているかどうかを確認します。もし変わったら、開け方を変えます。よくレジストリをバックアップして、問題を発見したらすぐにバックアップファイルでレジストリを回復してください。便利で、速くて、安全で、手間が省けます。
木馬の設備名の利用
Windowsの下ではデバイスでファイルやフォルダの名前を付けることができません。これらのデバイス名は主にaux、comp 1、comp 2、prn、con、nulなどがありますが、Windows 2000/XPの穴があります。設備で名来のファイルやフォルダを命名できます。木馬はそこに隠れていて、発見されません。
具体的な方法は、「スタート」メニューの「実行」をクリックして、cmd.exeを入力し、車を返してコマンドの表示ウィンドウに入り、mdを入力します。 c:con\コマンドは、conというディレクトリを作成することができます。デフォルトではWindowsはこのようなディレクトリを作成できません。Windowsの脆弱性を利用してこのディレクトリを作成することができます。またmdを入力してみます c:aux\コマンドは、auxディレクトリを作成し、mdを入力することができます。 c:prn\はprnディレクトリを作成し、mdを入力することができます。 c:comp 1\カタログはComp 1のディレクトリを作成できますが、mdを入力してください。 c: nul\はnulというディレクトリを作ることができます。資源管理器の中で順次クリックしてみたら、auxまたはcomp 1という名前のフォルダを開けようとしたら、explorer.exeは応答を失いました。多くの「牧馬人」はこの方法を利用して木馬をこのような特殊なフォルダに隠して隠して木馬を保護する目的です。
今、私達はこの特殊なディレクトリにファイルをコピーすることができます。もちろん、Windowsで直接コピーすることはできません。特殊な方法を採用して、CMDウィンドウでcopyを入力します。 mma.exe \.c:aux\コマンドは、木馬ファイルmuma.exeをCドライブのauxフォルダにコピーし、「スタート」メニューの「実行」をクリックして、「実行」にc:auxを入力します。 muam.exeでは、この木馬を起動することに成功します。フォルダ名をクリックしてこのような特別なディレクトリに入ることができますが、もしリソースマネージャから削除しようとしたら、これはまったく無駄です。Windowsはこのファイルが見つかりません。
使用delによる c:aux\命令はその中のmma.exeファイルを削除することができます。だから、より良い隠蔽と保護効果を達成するために、木馬者はmma.exeファイルを改名します。削除しにくいです。具体的な方法は木馬ファイルをauxフォルダにコピーする時にコマンドコピーを使うということです。 mma.exe \.c:con.exeでは、木馬ファイルmma.exeをauxディレクトリにコピーして、con.exeと改名しますが、con.exeファイルは普通の方法で削除できません。
このコン.exeファイルは「スタート」メニューの「実行」では実行できないと思う友達がいるかもしれません。そうではないです。コマンドラインでcmdを入力すればいいです。 /c \.c:conはこのプログラムを実行できます。運行時にはcmdウィンドウが点滅しています。トロイの木馬者は一般的にそれを改善しています。方法はたくさんあります。ブートスクリプトを利用してもいいです。cmd.exeのautrunを利用してもいいです。レジストリにあります。
HKEY_LOCAL_ MACHINESoff ware Microsoft Command Processorの下にAutoRunという文字列を作ります。値は実行します。batファイルまたは.cmdファイルのパスです。c:wintファイルのようです。 system 32 atot.cmdは、該当する文書を作成すれば、その内容は@\.c:conであり、隠れた効果を達成することができる。
このような特殊なフォルダに対して、発見したら下記の方法で削除できます。まずdelを使います。 \.c:con.exeコマンドはcon.exeファイルを削除します。(このファイルはその中の木馬ファイル名を仮定しています。)そして、カードを使います。 \.c:auxコマンドはauxフォルダを削除すればいいです。
木馬のAutoRunへの利用
AutoRunは光ディスクに適用できるだけでなく、ハードディスクにも適用できる(AutoRun.infはディスクのルートディレクトリに保存してこそ機能する)。AutoRun.infファイルの内容を一緒に見ましょう。
メモ帳を開き、新しいファイルを作成し、AutoRun.infと名づけ、AutoRun.infに以下の内容を入力します。
[AutoRun]
Icon=C:Windows System Shell 32.DLL、21
Open=C:Program FilesACDSee.DSee.exe
その中で、「AutoRun」は固定フォーマットであり、標準的なAutoRunファイルはその先頭を切る必要があり、その目的は、次のコマンドを実行するシステムに伝えることである。2行目の「Icon=C:Windows System Shell 32.DLL,21」はハードディスクや光ディスクに個性的なアイコンを設定するもので、「Shell 32.DLL」は多くのWindowsアイコンを含むシステムファイルで、「21」は表示番号が21のアイコンを表し、数字がない場合はデフォルトではファイルの最初のアイコンを採用する。3行目「Open=C:Program」 FilesACDSee ACDSee.exe」は、プログラムを実行する経路とファイル名を指摘しています。
Open行を木馬ファイルに変更すると、このAutoRun.infファイルを隠し属性に設定します。ハードディスクをクリックすると木馬が起動します。
このような「待ち伏せ」を防ぐために、ハードディスクAutoRun機能を禁止することができます。「開始」メニューの「運転」にRegeditを入力し、レジストリエディタを開いてHKEY_に展開します。CURRENT_US ER Software Microsoft Windows Currenent Version Policies Exploerキーの下、右側のウィンドウに「NoDrive Type AutoRun」というのがあります。それはCD ROMやハードディスクのAutoRun機能を実行するかどうかを決定します。そのキーの値を9 Dに変更すると、00,00はハードディスクのAutoRun機能をオフにできます。B 5,00,00,00,00に変更すると、ディスクのAutoRun機能が禁止されます。修正してコンピュータを再起動すると設定が有効になります。