2005-12-01 19:56:01 by: h4x0r
木马启动地方又三处及木马借用设备名隐藏方法[H4x0r整理]
1
Hkey_current_user\software\microsoft\windows nt\currentversion \windows
建一个字符串名为load键值为自启动程序的路径但是要注意
短文件名规则,如c:\program files 应为c:\progra~1这种方式用优化大师看不到
2
另一个注册表可以加启动项的位置
HKEY_LOCAL_MACHINE\SHOFTWARE\Microsoft\WindowsNT
\CurrentVersion\Winlogon
里面的shell建值在Explorer.exe的后面加上我门程序的路径,这样我门的程序就可以随系统启动了。
比如我门的c:\windows\system32\下有个muma.exe木马。写上 explorer.exe muma.exe
3
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\
CurrentVersion\Winlogon,找到“Userinit”这个键值,这个键值默认为c:\WINNT\system32\userinit.exe,后面加路径,再加逗号也可以随
系统启动
木马对文件关联的利用
象著名的冰河就是用的这一招,关联到txt文件,只要运行txt文件就会运行。
对付这种方法一个很方便的方法就是用“木马辅助查找器”,很多功能,里面一项就是查看文件关联。
木马对设备名的利用
大家知道,在Windows下无法以设备名来命名文件或文件夹,这些设备名主要有aux、com1、com2、prn、con、nul等,但Windows 2000/XP
有个漏洞可以以设备名来命名文件或文件夹,让木马可以躲在那里而不被发现。
点击“开始”菜单的“运行”,输入cmd.exe,回车进入命令提示符窗口,输入md c:aux\命令,可以建立aux目录,在资源管理器中依次点
击试试,您会发现当我们试图打开以aux或com1命名的文件夹时,explorer.exe失去了响应,而许多“牧马人”就是利用这个方法将木马隐藏在
这类特殊的文件夹中,从而达到隐藏、保护木马程序的目的。
现在,我们可以把文件复制到这个特殊的目录下,当然,不能直接在Windows中复制,需要采用特殊的方法,在CMD窗口中输入copy
muma.exe \\.\c:\aux\\,注意一个字都不能掉也不能多!这样就可以把木马文件muma.exe复制到C盘下。怎么运行呢?在“运行”中输入
c:\aux\muam.exe,就会成功启动该木马。神奇吧。我们可以通过点击文件夹名进入此类特殊目录,不过如果试图在资源管理器中删除它根本就
是徒劳的,Windows会提示找不到该文件。
同时,可以把木马换个名字叫con.exe,在资源管理器下面是不可能被建立的,我们同样用copy的方法,cmd下写入 copy muma.exe
\\.\c:\aux\\con.exe 就ok了。
但是运行就需要特殊点了,应该这样写: cmd /c \\.\c:\aux\\con.exe
对于这类特殊的文件夹,发现后我们可以采用如下方法来删除它:
先用del \\.\c:\aux\con.exe命令删除con.exe文件,再用rd \\.\c:\aux\命令删除aux文件夹即可。
mask注:贴了很久才开始自己测试这个东西,发现好多错误,网上的90%都会因为程序的原因把斜杠掉了,经过自己的测试,现在100%可用了
。其实这个技术知道的人并不算多了,而且利用起来也是非常爽的,不知道这个技术的人根本一点办法也没有!那我们便可大显神威了!呵呵
。。。。。。。
(菜鸟:怎么这个文件删不掉a ?真奇怪啊!求助高手...!!!)
利用自运行
AutoRun不仅能应用于光盘中,同样也可以应用于硬盘中(要注意的是,AutoRun.inf必须存放在磁盘根目录下才能起作用)。让我们一起看看
AutoRun.inf文件的内容吧。
打开记事本,新建一个文件,将其命名为AutoRun.inf,在AutoRun.inf中键入以下内容:
[AutoRun]
Icon=C:\Windows\System\Shell32.DLL,21
Open=C:\Program Files\ACDSee\ACDSee.exe
解释一下:一个标准的AutoRun文件必须以[AutoRun]开头,第二行Icon=C:\Windows\System\Shell32.DLL,21用来给硬盘或光盘设定一个图标
。Shell32.DLL是Windows系统文件,里面包含了很多Windows的系统图标。数字21表示显示编号为21的图标;第三行Open=C:\Program
Files\ACDSee\ACDSee.exe指出要运行程序的路径及其文件名。
如果把Open行换为木马文件,并将这个AutoRun.inf文件设置为隐藏属性(不易被发现),则点击硬盘就会启动木马!反过来讲,这倒的确是
一种很不错的程序自启动方式。
为防止遭到这样的“埋伏”,可以禁止硬盘AutoRun功能。打开注册表编辑器,展开到
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Policies\
Exploer主键下,在右侧窗口中找到“NoDriveTypeAutoRun”,
就是它决定了是否执行CDROM或硬盘的AutoRun功能。在默认状态下(即你没有禁止过AutoRun功能),在弹出窗口中可以看到“
NoDriveTypeAutoRun”默认键值为95,00,00,00,其中第一个值“95”是十六进制值,它是所有被禁止自动运行设备的和。将“95”转为二进制
就是10010101,其中每位代表一个设备,Windows中不同设备会用如下数值表示:
设备名称 第几位 值 设备用如下数值表示 设备名称含义
DKIVE_UNKNOWN 0 1 01h 不能识别的设备类型
DRIVE_NO_ROOT_DIR 1 0 02h 没有根目录的驱动器(Drive without root directory)
DRIVE_REMOVABLE 2 1 04h 可移动驱动器(Removable drive)
DRIVE_FIXED 3 0 08h 固定的驱动器(Fixed drive)
DRIVE_REMOTE 4 1 10h 网络驱动器(Network drive)
DRIVE_CDROM 5 0 20h 光驱(CD-ROM)
DRIVE_RAMDISK 6 0 40h RAM磁盘(RAM Disk)
保留 7 1 80h 未指定的驱动器类型(Not yet specified drive disk)
在上面所列的表中值为“0”表示设备运行,值为“1”表示该设备不运行(默认情况下,Windows禁止80h、10h、4h、01h这些设备自动运
行,这些数值累加正好是十六进制的95h,所以NoDriveTypeAutoRun”默认键值为95,00,00,00)。
由上面的分析不难看出,在默认情况下,会自动运行的设备是DRIVE_NO_ROOT_DIR、DRIVE_FIXED、DRIVE_CDROM、DRIVE_RAMDISK这四个保留设
备,所以要禁止硬盘自动运行AutoRun.inf文件,就必须将DRIVE_FIXED的值设为1,这是因为DRIVE_FIXED代表固定的驱动器,即硬盘。这样一
来,原来的10010101(在表中“值”列中由下向上看)就变成了二进制的10011101,转为十六进制为9D。现在,将“NoDriveTypeAutoRun”的
键值改为9D,00,00,00后关闭注册表编辑器,重启电脑后就会关闭硬盘的AutoRun功能。
如果你看明白了,那你肯定知道该怎样禁止光盘AutoRun功能了,对!就是将DRIVE_CDROM设为1,这样“NoDriveTypeAutoRun”键值中的第
一个值就变成了10110101,也就是十六进制的B5。将第一个值改为B5后关闭注册表编辑器,重启电脑后就会关闭CDROM的Autorun功能。如果仅
想禁止软件光盘的AutoRun功能,但又保留对CD音频碟的自动播放能力,这时只需将“NoDriveTypeAutoRun”的键值改为:BD,00,00,00即可。
如果想要恢复硬盘或光驱的AutoRun功能,进行反方向操作即可。
Comments Feed: http://www.4evil.org/feed.asp?q=comment&id=221
Hkey_current_user\software\microsoft\windows nt\currentversion \windows
建一个字符串名为load键值为自启动程序的路径但是要注意
短文件名规则,如c:\program files 应为c:\progra~1这种方式用优化大师看不到
2
另一个注册表可以加启动项的位置
HKEY_LOCAL_MACHINE\SHOFTWARE\Microsoft\WindowsNT
\CurrentVersion\Winlogon
里面的shell建值在Explorer.exe的后面加上我门程序的路径,这样我门的程序就可以随系统启动了。
比如我门的c:\windows\system32\下有个muma.exe木马。写上 explorer.exe muma.exe
3
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\
CurrentVersion\Winlogon,找到“Userinit”这个键值,这个键值默认为c:\WINNT\system32\userinit.exe,后面加路径,再加逗号也可以随
系统启动
木马对文件关联的利用
象著名的冰河就是用的这一招,关联到txt文件,只要运行txt文件就会运行。
对付这种方法一个很方便的方法就是用“木马辅助查找器”,很多功能,里面一项就是查看文件关联。
木马对设备名的利用
大家知道,在Windows下无法以设备名来命名文件或文件夹,这些设备名主要有aux、com1、com2、prn、con、nul等,但Windows 2000/XP
有个漏洞可以以设备名来命名文件或文件夹,让木马可以躲在那里而不被发现。
点击“开始”菜单的“运行”,输入cmd.exe,回车进入命令提示符窗口,输入md c:aux\命令,可以建立aux目录,在资源管理器中依次点
击试试,您会发现当我们试图打开以aux或com1命名的文件夹时,explorer.exe失去了响应,而许多“牧马人”就是利用这个方法将木马隐藏在
这类特殊的文件夹中,从而达到隐藏、保护木马程序的目的。
现在,我们可以把文件复制到这个特殊的目录下,当然,不能直接在Windows中复制,需要采用特殊的方法,在CMD窗口中输入copy
muma.exe \\.\c:\aux\\,注意一个字都不能掉也不能多!这样就可以把木马文件muma.exe复制到C盘下。怎么运行呢?在“运行”中输入
c:\aux\muam.exe,就会成功启动该木马。神奇吧。我们可以通过点击文件夹名进入此类特殊目录,不过如果试图在资源管理器中删除它根本就
是徒劳的,Windows会提示找不到该文件。
同时,可以把木马换个名字叫con.exe,在资源管理器下面是不可能被建立的,我们同样用copy的方法,cmd下写入 copy muma.exe
\\.\c:\aux\\con.exe 就ok了。
但是运行就需要特殊点了,应该这样写: cmd /c \\.\c:\aux\\con.exe
对于这类特殊的文件夹,发现后我们可以采用如下方法来删除它:
先用del \\.\c:\aux\con.exe命令删除con.exe文件,再用rd \\.\c:\aux\命令删除aux文件夹即可。
mask注:贴了很久才开始自己测试这个东西,发现好多错误,网上的90%都会因为程序的原因把斜杠掉了,经过自己的测试,现在100%可用了
。其实这个技术知道的人并不算多了,而且利用起来也是非常爽的,不知道这个技术的人根本一点办法也没有!那我们便可大显神威了!呵呵
。。。。。。。
(菜鸟:怎么这个文件删不掉a ?真奇怪啊!求助高手...!!!)
利用自运行
AutoRun不仅能应用于光盘中,同样也可以应用于硬盘中(要注意的是,AutoRun.inf必须存放在磁盘根目录下才能起作用)。让我们一起看看
AutoRun.inf文件的内容吧。
打开记事本,新建一个文件,将其命名为AutoRun.inf,在AutoRun.inf中键入以下内容:
[AutoRun]
Icon=C:\Windows\System\Shell32.DLL,21
Open=C:\Program Files\ACDSee\ACDSee.exe
解释一下:一个标准的AutoRun文件必须以[AutoRun]开头,第二行Icon=C:\Windows\System\Shell32.DLL,21用来给硬盘或光盘设定一个图标
。Shell32.DLL是Windows系统文件,里面包含了很多Windows的系统图标。数字21表示显示编号为21的图标;第三行Open=C:\Program
Files\ACDSee\ACDSee.exe指出要运行程序的路径及其文件名。
如果把Open行换为木马文件,并将这个AutoRun.inf文件设置为隐藏属性(不易被发现),则点击硬盘就会启动木马!反过来讲,这倒的确是
一种很不错的程序自启动方式。
为防止遭到这样的“埋伏”,可以禁止硬盘AutoRun功能。打开注册表编辑器,展开到
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Policies\
Exploer主键下,在右侧窗口中找到“NoDriveTypeAutoRun”,
就是它决定了是否执行CDROM或硬盘的AutoRun功能。在默认状态下(即你没有禁止过AutoRun功能),在弹出窗口中可以看到“
NoDriveTypeAutoRun”默认键值为95,00,00,00,其中第一个值“95”是十六进制值,它是所有被禁止自动运行设备的和。将“95”转为二进制
就是10010101,其中每位代表一个设备,Windows中不同设备会用如下数值表示:
设备名称 第几位 值 设备用如下数值表示 设备名称含义
DKIVE_UNKNOWN 0 1 01h 不能识别的设备类型
DRIVE_NO_ROOT_DIR 1 0 02h 没有根目录的驱动器(Drive without root directory)
DRIVE_REMOVABLE 2 1 04h 可移动驱动器(Removable drive)
DRIVE_FIXED 3 0 08h 固定的驱动器(Fixed drive)
DRIVE_REMOTE 4 1 10h 网络驱动器(Network drive)
DRIVE_CDROM 5 0 20h 光驱(CD-ROM)
DRIVE_RAMDISK 6 0 40h RAM磁盘(RAM Disk)
保留 7 1 80h 未指定的驱动器类型(Not yet specified drive disk)
在上面所列的表中值为“0”表示设备运行,值为“1”表示该设备不运行(默认情况下,Windows禁止80h、10h、4h、01h这些设备自动运
行,这些数值累加正好是十六进制的95h,所以NoDriveTypeAutoRun”默认键值为95,00,00,00)。
由上面的分析不难看出,在默认情况下,会自动运行的设备是DRIVE_NO_ROOT_DIR、DRIVE_FIXED、DRIVE_CDROM、DRIVE_RAMDISK这四个保留设
备,所以要禁止硬盘自动运行AutoRun.inf文件,就必须将DRIVE_FIXED的值设为1,这是因为DRIVE_FIXED代表固定的驱动器,即硬盘。这样一
来,原来的10010101(在表中“值”列中由下向上看)就变成了二进制的10011101,转为十六进制为9D。现在,将“NoDriveTypeAutoRun”的
键值改为9D,00,00,00后关闭注册表编辑器,重启电脑后就会关闭硬盘的AutoRun功能。
如果你看明白了,那你肯定知道该怎样禁止光盘AutoRun功能了,对!就是将DRIVE_CDROM设为1,这样“NoDriveTypeAutoRun”键值中的第
一个值就变成了10110101,也就是十六进制的B5。将第一个值改为B5后关闭注册表编辑器,重启电脑后就会关闭CDROM的Autorun功能。如果仅
想禁止软件光盘的AutoRun功能,但又保留对CD音频碟的自动播放能力,这时只需将“NoDriveTypeAutoRun”的键值改为:BD,00,00,00即可。
如果想要恢复硬盘或光驱的AutoRun功能,进行反方向操作即可。
Comments Feed: http://www.4evil.org/feed.asp?q=comment&id=221
There is no comment on this article.
