美国服务器木马病毒常见的入侵方式有:1、在美国服务器系统中的win.ini文件中加载入侵;2、在美国服务器系统信息文件的System.ini文件中加载入侵;3、通过修改服务器注册表设置启动加载项来进行入侵;4、通过修改服务器文件打开关联来到达入侵。
下面是详细介绍:
1、在win.ini文件中加载
一般在win.ini文件中的【windwos】段中有以下加载项:run=load=,一般此两项为空。如果你发现美国服务器系统中的此两项加载了任何可疑的程序时,可根据其提供的源文件路径和功能进一步检查。这两项分别是用来当美国服务器系统启动时自动运行和加载程序的,如果木马程序加载到这两个子项中以后,那末系统启动后便可自动运行或加载了。
固然也有可能美国服务器系统当中确切需要加载某一程序,但要知道这更是木马利用的好机会,它常常会在美国服务器现有加载的程叙文件名以后再加一个它自己的文件名还是参数,这个文件名也常常用你常见的文件,如command.exe、sys.com等来假装。
2、在System.ini文件中加载
在美国服务器系统信息文件system.ini中也有一个启动加载项,那就是在【BOOT】子项中的Shell项。在这里木马最惯用的伎俩就是把本应是”Explorer”变成它自己的程序名,名称假装成几近与原来的一样,只需稍稍改”Explorer”的字母”I”改成数字”1”,还是把其中的”o”改成数字”0”,这些改变如果不仔细留意是很难被人发现的,这就是我们前面所讲的欺骗性。
固然也有的木马不是这样做的,而是直接把”Explorer”改成别的甚么名字,由于有很多美国服务器用户是不知道这里就一定是”Explorer”,还是在”Explorer”加上点甚么东东,加上的那些东东肯定就是木马程序了。
3、修改注册表
在注册表中也能够设置一些启动加载项目的,况且注册表中更安全,由于会看注册表的人更少。事实上,只要是”Run\Run-\RunOnce\RunOnceEx\RunServices\RunServices-\RunServicesOnce”等都是木马程序加载的入口,如[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run或\RunOnce]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run或Run-或RunOnce或RunOnceEx或RunServices或RunServices-或RunServicesOnce]。
只要依照其指定的源文件路径一路查过去,并具体研究一下在系统中的作用就不难发现这些,不过一样要注意木马的欺骗性,同时还要仔细视察一下在这些键值项中是否是有类似netspy.exe、空格、.exe或其它可疑的文件名,如有则立即删除。
4、修改文件打开关联
木马程序发展到了今天,为了更加隐蔽自己,所采取手段也是愈来愈隐蔽,它们开始采取修改文件打开关联来到达加载的目的,当打开了一个已修改了打开关联的文件时,木马也就开始了它的运作,如冰河木马就是利用文本文件【.txt】这个最多见,但又最不引人注视的文件格式关联来加载,当有人打开文本文件时就自动加载了冰河木马。
修改关联的途经或选择了注册表的修改,它主要选择的是文件格式中的【打开】、【编辑】、【打印】项目,如果感染了冰河木马病毒则在[HKEY_CLASSES_ROOT\txtfile\shell\open\command]中的键值不是”c:\windows\notepad.exe%1”,而是改成”syXXXplr.exe%1”。
本文来源:https://www.yuntue.com/post/181732.html | 云服务器网,转载请注明出处!
微信扫一扫打赏
支付宝扫一扫打赏
