返回
反病毒攻防研究第002篇:利用注册表实现自启动new

反病毒攻防研究第002篇:利用注册表实现自启动new

ID:34429099

大小:608.05 KB

页数:6页

时间:2019-03-06

反病毒攻防研究第002篇:利用注册表实现自启动new_第1页
反病毒攻防研究第002篇:利用注册表实现自启动new_第2页
反病毒攻防研究第002篇:利用注册表实现自启动new_第3页
反病毒攻防研究第002篇:利用注册表实现自启动new_第4页
反病毒攻防研究第002篇:利用注册表实现自启动new_第5页
资源描述:

《反病毒攻防研究第002篇:利用注册表实现自启动new》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、一、前言我在上一篇文章中说到,一般来讲,用户只要不去双击病毒木马,那么它就不会运行。说到运行,其实实现病毒木马自运行的方式有很多,但是前提都是需要有人对其进行双击操作,从而启动病毒木马的自运行功能。而这次我主要讨论的是利用注册表实现“病毒”(对话框)的自启动,准确来说是,当有用户第一次双击运行了“病毒”(对话框)程序后,它会在每次开机时实现自启动。这一方法多被木马所采用,因为木马要实现远程控制,就需要木马服务器端时刻在线,这样黑客就可以利用客户端来操控被植入木马的用户的计算机了。而在最后,我依然要对如何处理这种自启动技术进行论述,彻底将病毒木马所扼杀。二、常用的注册表

2、启动项利用注册表相关的注册表项实现程序的自启动是一种很常见的方法,注册表中可被利用的表项非常多,常见的如下:1.Run注册表键HKCUSoftwareMicrosoftWindowsCurrentVersionRunHKCUSoftwareMicrosoftWindowsCurrentVersionRunOnceHKLMSOFTWAREMicrosoftWindowsCurrentVersionRunHKLMSOFTWAREMicrosoftWindowsCurrentVersionRunOnce需要注意的是,这里的RunOnc

3、e只会运行一次,之后该表项内容就自动删除。2.Load注册表键HKCUSoftwareMicrosoftWindowsNTCurrentVersionWindowsload3.Userinit注册表键HKLMSOFTWAREMicrosoftWindowsNTCurrentVersionWinlogonUserinit通常该注册键下面有一个userinit.exe,但这个键允许指定用逗号分隔的多个程序,例如:userinit.exe,OSA.exe。下面通过编程修改HKCUSoftwareMicrosoftWindowsCurrentV

4、ersionRun为例,将我们的对话框在开机时实现自启动:voidAddReg(){charRegName[]=“Software\Microsoft\Windows\CurrentVersion\Run”;charszBuf[MAX_PATH];HKEYhKey=NULL;strcpy(szBuf,”%windir%\Hacked.exe”);RegOpenKey(HKEY_CURRENT_USER,RegName,&hKey);RegSetValueEx(hKey,//subkeyhandle”Hacked”,//valuename0,//mustbe

5、zeroREG_EXPAND_SZ,//valuetype(LPBYTE)szBuf,//pointertovaluedatastrlen(szBuf)+1);//lengthofvaluedataRegCloseKey(hKey);}将上述代码加入到上一章的Main函数中,重启计算机后,“病毒”就可实现自运行。可以修改上述代码中相应的注册表代码,以添加到不同的注册表项中实现自启动。图1修改注册表实现自启动这里再讲一下整个程序的执行流程。首先当双击这个可执行文件后,会弹出对话框,提示用户“中毒”,之后单击“确定”,对话框消失,程序将自身复制到Windows目录以及系统

6、目录中,之后创建并执行批处理文件以删除自身与该批处理,最后将Windows目录下的Hacked.exe添加到注册表中,以实现自启动。但是需要说明的是,在装有杀毒软件的计算机上运行此程序,杀软往往会提示开机启动项被修改,如下图所示:图2杀软提示开机启动项被修改这说明修改注册表启动项的位置确实是一项可疑操作,是很容易被杀软所发现的。上述功能也可以用批处理实现:代码如下:@echooffechoWindowsRegistryEditorVersion5.00>>1.regecho[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCu

7、rrentVersionRun]>>1.regecho"Hacked.exe"="C:\Windows\Hacked.exe">>1.regregedit/s1.regdel/f1.reg上述批处理代码会首先创建一个注册表文件(REG),将相应的代码写入该文件中,运行后再删除该注册表文件。当然了,存在更好的方式实现程序的隐藏启动,这将在以后的文章中论述。三、利用映像劫持实现程序的启动这里既然提到了注册表,那么还有一个关键的注册表项需要说明,那就是映像劫持,位于注册表HKLMSOFTWAREMicrosoftWindowsNTCurren

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。