木马病毒：服务器中木马病毒入侵方式有哪几种

服务器中木马病毒入侵方式有哪几种

服务器中木马病毒入侵方式有：1、在win.ini文件中加载入侵；2、在System.ini文件中加载入侵；3、修改注册表设置启动加载项来进行入侵；4、通过修改文件打开关联来到达入侵。

下面是详细介绍：

1、在win.ini文件中加载，一般在win.ini文件中的【windwos】段中有以下加载项：run= load= ，一般此两项为空。如果你发现系统中的此两项加载了任何可疑的程序时，可根据其提供的源文件路径和功能进一步检查。这两项分别是用来当系统启动时自动运行和加载程序的，如果木马程序加载到这两个子项中以后，那末系统启动后便可自动运行或加载了。

2、在System.ini文件中加载，在系统信息文件system.ini中也有一个启动加载项，那就是在【BOOT】子项中的Shell项。在这里木马最惯用的伎俩就是把本应是“Explorer”变成它自己的程序名，名称假装成几近与原来的一样，只需稍稍改“Explorer”的字母“I”改成数字“1”，还是把其中的“o”改成数字“0”，这些改变如果不仔细留意是很难被人发现的，这就是我们前面所讲的欺骗性。

3、修改注册表，在注册表中也能够设置一些启动加载项目的，况且注册表中更安全，由于会看注册表的人更少。事实上，只要是“RunRun-RunOnceRunOnceEx RunServices RunServices-RunServicesOnce ”等都是木马程序加载的入口，如[HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersionRun或RunOnce][HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun或Run-或RunOnce或RunOnceEx或RunServices或RunServices-或RunServicesOnce]。

4、修改文件打开关联，木马程序发展到了今天，为了更加隐蔽自己，所采取手段也是愈来愈隐蔽，它们开始采取修改文件打开关联来到达加载的目的，当打开了一个已修改了打开关联的文件时，木马也就开始了它的运作，如冰河木马就是利用文本文件【.txt】这个最多见，但又最不引人注视的文件格式关联来加载，当有人打开文本文件时就自动加载了冰河木马。

修改关联的途径或选择了注册表的修改，它主要选择的是文件格式中的【打开】、【编辑】、【打印】项目，如果感染了冰河木马病毒则在[HKEY_CLASSES_ROOT xtfileshellopencommand]中的键值不是“c:windows otepad.exe %1”，而是改成“syXXXplr.exe %1”。

本文来源：https://www.yuntue.com/post/59085.html | 云服务器网，转载请注明出处！