|
|
楼主 |
发表于 2008-9-2 10:07:17
|
显示全部楼层
|阅读模式
来自 广西南宁市武鸣县
几天前,我看了一篇技术文章,是讲述一种病毒的感染运行机制。原文中提到了一个木马启动的新的思路.也许某些高手已经会了,但是很多人也不知道。我整理出来,结合我自己的试验,给大家简单介绍一下。作为一个小教程,本文不涉及程序方面的知识,菜鸟老鸟都能看明白的。
暂时我们只针对XP和2000系统。其他的系统我没测试过,不敢乱说!
一般大家机器里都会有QQ吧,我们就用QQ来做试验!!?
直接在开始菜单里找到运行栏,输入regedit,打开注册表编辑器。找到
[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options]
(给菜鸟的话:是先找到HKEY_LOCAL_MACHINE项再找到SOFTWARE项再找
Microsoft…………最后找到Image File Execution Options)
在Image File Execution Options的下面你点新建一个项,取名为QQ.exe。然后再选
中这个QQ.exe,在 它的右边的空白栏新建一个字符串值,取名为Debugger。然后双击打开,输入
c:\\windows\\NOTEPAD.EXE
(给菜鸟的话:NOTEPAD.EXE就是我们系统里的记事本程序,win2000应该在winnt
目录下)
好了。咱们找出QQ!我的QQ装在D盘里,我直接双击打开QQ.exe。嘿嘿!看见了
没,直接打开了记事本程序
序(其实是调用记事本来打开这个exe文件)。嘿嘿。不管你把QQ装哪个盘都是一
样。等于是把QQ禁用了。
[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\WindowsNT\\CurrentVersion\\Image File Execution Options]
其实这个地方是NT系统的一个执行重定向,重定向执行系统中其他执行文件,如果该
路径不存在,原文件不受影响,正常打开,但是如果路径存在,原文件就会按照指定的执行文件方式打开!
一些病毒和木马就是用这样的方法进行传播运行的了,比如刚才我们输入的c:\\windows\\NOTEPAD.EXE,
如果把它改成木马或者病毒的路径呢??嘿嘿!再把那个QQ.exe改成 A
IEXPLORE.EXE。这样的话,只要你 }
一打开IE浏览器,你就会运行木马或者病毒一次。
纯粹就是一个思路,本文涉及的技术是两年前就有人发布出来了,看你怎么利用了.
(给菜鸟的话:要想改回来很简单,直接在注册表编辑器下删除那个QQ.exe的项就可以了,或者导出 N
QQ.exe项为reg文件,在\"Debugger\"=\"c:\\\\windows\\\\NOTEPAD.EXE\"下,修改 o:为\"Debugger\"=\"\"
保存后双击导入注册表就可以了,这样的好处方便你随时修改。) |
|
发表于 2008-9-2 12:14:18
发表于 2008-9-2 12:40:27
