下载后可任意编辑议木马自启动应用 摘要:木马一种具有远程控制功能的程序。文件关联是木马实现自启动的方法之一,这种方式的实现有三个关键技术。在详细分析这三个关键技术后,用 Vc++编程实现木马的自启动从而深刻地揭示该方法的原理。 关键词:文件关联;木马;自启动 1 木马启动的方式 木马是一种能实现远程控制的黑客程序,具有窃取密码,屏幕控制,文件传输等危害[1]。从广义上来讲,木马是一种病毒,但不具有自我复制的特点,因此,木马要使用各种方法让程序在计算机上运行而又不被用户发现。木马首次被执行后可能被用户关闭或木马程序随着计算机的重启或关闭,因此木马还需要解决自启动的问题,以达到长期控制被害机器的目的。木马常用的启动方法有以下几种: 1.1 通过注册表 windows 操作系统的注册表提供了一个注册表项,它的具体路径是:HKeY_locAl_mAcHine\soFtwAre\microsoft\windows\currentVersion\run 。 通过该表项可以实现程序的自启动,一些重要的程序也是通过该表项来实现自启动的,例如输入法程序,防火墙程序等。而该表项也为木马的启动提供了可乘之机,一些木马就是利用该表项来实现自启动,例如冰河。 1.2 通过服务 windows 的很多后台服务是通过系统“服务”程序来启动的,例如 www 服务,telnet 服务等。一些木马程序也会注册成后台服务从而随着计算机的启动而运行。例如某些版本的灰鸽子就是使用这个方法。一些论文[2]详细讨论了这种方法的实现。 1.3 通过文件关联 文件关联是指木马与某一种类型的文件或程序关联在一起,当打开文件或程序被运行时,木马也悄悄随着运行。木马一般选择与常用的文件建立关联,否则即使建立了关联,木马也可能由于文件没有被打开而不能自启动。冰河除1下载后可任意编辑了使用注册表的方法外,也使用了关联的方法,它通常关联文本文件,当然也可能关联其它类型的文件。而广外女生则关联了 exe 文件和 com 文件,因此,任何一个 exe 文件运行都启动了木马程序。一些论文[5]讨论了另类的文件关联的方法。 2 文件关联的关键技术 用文件关联的方法实现木马自启动有三个关键技术,一是如何与文件或程序建立关联;二是调用正常的程序;三是如何获得用户需要打开的文件名或程序名。本文以关联文本文件为例进行讨论,并在 Vc++下编程实现。 2.1 建立文件关联 一个文件可以用某个程序打开,也可以用另外一个程序打开,但有一个默认的打开程序。默认的打开程序其...
