议木马自启动应用 摘要:木马一种具有远程控制功能的程序
文件关联是木马实现自启动的方法之一,这种方式的实现有三个关键技术
在详细分析这三个关键技术后,用 Vc++编程实现木马的自启动从而深刻地揭示该方法的原理
关键词:文件关联;木马;自启动 1 木马启动的方式 木马是一种能实现远程控制的黑客程序,具有窃取密码,屏幕控制,文件传输等危害[1]
从广义上来讲,木马是一种病毒,但不具有自我复制的特点,因此,木马要使用各种方法让程序在计算机上运行而又不被用户发现
木马首次被执行后可能被用户关闭或木马程序随着计算机的重启或关闭,因此木马还需要解决自启动的问题,以达到长期控制被害机器的目的
木马常用的启动方法有以下几种: 1
1 通过注册表 windows 操作系统的注册表提供了一个注册表项,它的具体路径是:HKeY_locAl_mAcHine\soFtwAre\microsoft\windows\currentVersion\run
通过该表项可以实现程序的自启动,一些重要的程序也是通过该表项来实现自启动的,例如输入法程序,防火墙程序等
而该表项也为木马的启动提供了可乘之机,一些木马就是利用该表项来实现自启动,例如冰河
2 通过服务 windows 的很多后台服务是通过系统“服务”程序来启动的,例如 www 服务,telnet 服务等
一些木马程序也会注册成后台服务从而随着计算机的启动而运行
例如某些版本的灰鸽子就是使用这个方法
一些论文[2]详细讨论了这种方法的实现
3 通过文件关联 文件关联是指木马与某一种类型的文件或程序关联在一起,当打开文件或程序被运行时,木马也悄悄随着运行
木马一般选择与常用的文件建立关联,否则即使建立了关联,木马也可能由于文件没有被打开而不能自启动
冰河除了使用注册表的方法外,也使用了关联的方法,它通常关联文本文件,当然也可能关联其它类型
