木马的启动方式PPT教案学习
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
DisplayName:显示名称 ImagePath:执行文件路径 Start:启动类型 Type:服务类型
第13页/共27页
第14页/共27页
方式五 伪装成服务启动
Windows系统提供了很多对服务进行操作的 接口,如:
打开某主机的服务控制器OpenSCManager() 创建服务CreateService() 启动服务StartService() 枚举服务EnumServicesStatusEx() 更改服务配置属性ChangeServiceConfig()
HKEY_CURRENT_USER\Software\Microsoft\Windo ws NT\CurrentVersion\Windows\Load:用户登录时 装载的程序
wk.baidu.com
等
第9页/共27页
方式三 通过任务计划启动
任务计划服务让用户指定系统在一个特定的时间、特定的 日期或者特定事件发生时(如,计算机启动时、用户登录 时)执行特定的程序
方式二 通过注册表启动
带Once子键下的键值在Windows启动时执行 完后会被清空,也就是说,只能启动一次, 因而不会出现在系统配置实用程序所列出 的项中,而其他子键下的值则会出现在其 中
有些木马制造者也正是利用了带Once键的 这一特点,在每次系统关闭时写入该子键, 来达到在系统下一个启动时不仅可以启动 木马而且可以很好的隐藏木马的目的
第7页/共27页
方式二 通过注册表启动
通过组策略启动
运行Gpedit.msc,打开“组策略”,看到“计算机配置”和“用户配置”, 展开其中的任意一项,可看到管理模板,展开“管理模板-系统-登录”, 双击“在用户登录时运行这些程序”子项进行属性设置
选定“设置”项中的“已启动”并单击“显示”按钮弹出“显示内容”, 再单击“添加”,填入要自动启动的程序的路径,单击“确定”按钮就 完成了设置
第2页/共27页
方式二 通过注册表启动
Windows注册表是一个庞大的数据库,存储 的信息包括软硬件的有关配置和状态信息, 应用程序和资源管理器外壳的初始条件、 首选项和卸载数据,系统的设置和各种许 可,文件扩展名与应用程序的关联,硬件 的描述、状态和属性,计算机性能记录和 底层的系统状态信息等。对系统设置的任 何改动都会在注册表中留下痕迹
第3页/共27页
方式二 通过注册表启动
注册表编辑器(Regedit.exe)是 Windows提供给用户的一个查看 和维护注册表的工具,其界面与 资源管理器的界面类似
界面左边窗格为注册表主键及子 键,右边为键值名称、类型和数 据
第4页/共27页
方式二 通过注册表启动
通过注册表中的RUN来启动 在安装某些程序的时
第15页/共27页
方式六 通过其他特定程序启动
寄生在特定程序中
木马和正常程序捆绑,有点类似于病毒,如将 文件命名为***.jpg.exe,对于隐藏已知文件类型 的查看方式下容易被启动
木马程序在正常程序文件后面加节,或者加在 正常程序文件节与节的空隙中实现捆绑
用户运行植入木马的“正常程序”时,木马程 序先获得控制权启动运行
在system32目录下的dllcache目录对系统的DLL文件做了备份,一旦操作系 统通过数字签名技术发现被保护的DLL文件被篡改,就会自动从dllcache 中恢复该文件
第18页/共27页
方式六 通过其他特定程序启动
印象劫持
HKEY_LOCAL_MACHINE\SOFTWARE\Micro soft\Windows NT\CurrentVersion\Image File Execution Options
GetNetScheduleAccountInformation() 设置任务计划服务的帐户名称和密码
SetNetScheduleAccountInformation()
使用代码添加本地任务第演10页示/共27页
方式四 通过文件关联启动
文件关联:规定某种格式的文件用哪个程序打开,或者用某个程 序打开哪些文件
HKEY_CURRENT_U脑SE重R\启Sof之tw后are只\M运icr行oso一ft\次Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersio n\RunOnce:在系统下次重启时执行的程序
第16页/共27页
方式六 通过其他特定程序启动
代替其他程序启动
在系统运行过程中,有许多程序是自动运行的, 如磁盘清理程序(cleanmgr.exe)、输入法程序 (internat.exe)等
通过覆盖系统自动运行的文件,而不必改变任 何设置,系统就可以自动运行它们
或者利用其他技巧,如伴随感染法,利用 windows路径的优先级,将与系统运行文件名同 名的木马程序考入优先级更高的路径
木马的启动方式
会计学
1
主要内容
通过启动项启动 通过注册表启动 通过任务计划启动 通过文件关联启动 伪装成服务启动 通过其他特定程序启动 通过驱动启动 利用浏览器启动 利用自动运行功能
第1页/共27页
方式一 通过启动项启动
加在“开始”-“程序”-“启动”中 加载启动项中的程序在系统启动后会自动运行,而且要在启动项
第20页/共27页
方式八 利用浏览器启动
Explorer和IE浏览器在启动时会加载一些组件,因 此木马很有可能伪装成这些组件的一部分而被启 动
通过BHO启动
BHO: Browser Helper Object,浏览器辅助对象,是微软推出 的作为浏览器第三方程序员开放交互接口。通过这个接口, 程序员可以编写代码来获取浏览器的行为,还可以编写代码 来控制浏览行为
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run Once
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersio n\RunOnceEx
在启动顺序上,系统首先启动HKEY_LOCAL_MACHINE下定义的启 动项目,再去启动HKEY_CURRENT_USER下定义的启动项目
中增加程序非常简单,只需要将所需的文件或快捷方式放入管理 启动项文件的文件夹中即可 也可以从注册表可以找到这个文件夹,键值在 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersi on\Explorer\Shell Folders下,双击startup,可以查看文件夹的位置 这种方法简单易行,也比较常见,但较易发现木马程序,因此木 马使用此方式的程度不高
用户可以通过“添加任务计划”向导来添加自己的任务计 划,甚至可以写一段代码来进行远程添加,这也给木马留 下了自启动的机会
Windows提供了六个有关任务计划的API函数:
增加任务计划NetScheduleJobAdd() 删除任务计划NetScheduleJobDel() 枚举特定主机上的所有任务计划NetScheduleJobEnum() 获取特定主机上的任务信息NetScheduleJobGetInfo() 获得任务计划服务(AT服务)的账户名称
例如双击.txt文件,一般情况下会默认notepad.exe程序打开 文件关联可以通过“我的电脑”-“工具”-“文件夹选项”-“文件类
型”来设置 对于木马来说,可以通过修改注册表达到
注册表的HKEY_CLASSES_ROOT下,可以看到很多扩展名——所有的文 件类型都必须在这里注册,才是系统识别的文件类型
在系统下次重启时执行的程序hkeycurrentusersoftwaremicrosoftwindowscurrentversionrunoncehkeylocalmachinesoftwaremicrosoftwindowscurrentversionrunonceex在启动顺序上系统首先启动hkeylocalmachine下定义的启动项目再去启动hkeycurrentuser下定义的启动项目在安装某些程序的时候需要在电脑下次重新启动之后做一些初始化之类的动作这些启动项就放在注册表的runonce里面在电脑重启之后只运行一次方式二通过注册表启动在上述任意一个子键下添加字符串键值设置键值的数据为完整的程序路径就可以实现程序的自启动这是windwos应用程序常用的自启动方法也是木马最常用的自启动方法但由于应用很广很容易被人发现一旦用户感觉中了木马首先想到的就是查看这个启动项方式二通过注册表启动带once子键下的键值在windows启动时执行完后会被清空也就是说只能启动一次因而不会出现在系统配置实用程序所列出的项中而其他子键下的值则会出现在其中有些木马制造者也正是利用了带once键的这一特点在每次系统关闭时写入该子键来达到在系统下一个启动时不仅可以启动木马而且可以很好的隐藏木马的目的方式二通过注册表启动运行gpeditmsc打开组策略看到计算机配置和用户配置展开其中的任意一项可看到管理模板展开管理模板系统登录双击在用户登录时运行这些程序子项进行属性设置选定设置项中的已启动并单击显示按钮弹出显示内容再单击添加填入要自动启动的程序的路径单击确定按钮就完成了设置使用此方法添加的自启动程序在系统的系统配置实用程序中找不到也不在熟知的注册表项中而是hkeylocalmachinesoftwaremicrosoftwindowscurrentversionpoliciesexplorerrun中方式二通过注册表启动注册表中还有很多位置记录系统启动或用户登录时系统所启动执行的程序或脚本如
第19页/共27页
方式七 通过驱动启动
有的木马将自己伪装成驱动程序来实现自启动 系统扫描注册表的
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services键 下的键值来构造驱动程序列表 这个键下每个子键的start键值都是REG-DWORD型,表示该驱动程 序加载的时间 在安装驱动程序时,将start值设为0,1,2,该驱动程序就可以在 系统重启时启动 有的木马利用这个原理进行自启动
在 会被注册系统表中加载有一运系行列以“候 新R, 启un需 动”开要 之头在 后的电 做子脑 一键下 些,次 初该重 始键的键值在系统启动后 具体位置有以下几种: 化之类的动作,这些启
HKEY_LOCAL_MAC动HI项NE就\S放OF在TW注A册RE表\M的icrosoft\Windows\CurrentVersio n\Run:在系统启动时R执un行Once里面,在电
第5页/共27页
方式二 通过注册表启动
在上述任意一个子键下添加字符串键值, 设置键值的数据为完整的程序路径,就可 以实现程序的自启动
这是Windwos应用程序常用的自启动方法, 也是木马最常用的自启动方法
但由于应用很广,很容易被人发现,一旦 用户感觉中了木马,首先想到的就是查看 这个启动项
第6页/共27页
开发好的BHO插件以COM组件的形式存在。在注册表 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows \CurrentVersion\Explorer\Browser Helper Objects注册好后,每 当微软浏览器启动,BHO实例就会被创建,并且和浏览器运 行在相同的内存上下文里,因此能在可用的窗口和模块里完 成任何操作
第8页/共27页
方式二 通过注册表启动
通过其他位置启动
注册表中还有很多位置记录系统启动或用户登 录时系统所启动执行的程序或脚本,如:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows NT\CurrentVersion\Winlogon:用户登录时 系统启动的程序,例如用户GUI
如果将一个木马注册为BHO插件,就可以随着浏览器的启动 而启动
第21页/共27页
方式九 利用自动运行功能
修改autorun.inf文件 在用户打开磁盘时运行木马程序
第22页/共27页
利用工具查询
autoruns
第23页/共27页
启动类型
第24页/共27页
服务类型
第25页/共27页
系统配置实用程序(msconfig)
第17页/共27页
方式六 通过其他特定程序启动
通过API HOOK技术启动
这种方法主要针对DLL木马,技术性高,通过替换系统的DLL文件,让系 统启动指定的程序
当用户的应用程序调用某个API函数时,木马程序就会首先启动,然后利 用函数转发器将正常的调用转发给原DLL
当特定消息(事先约定的特定请求)到达时,木马视为对主机进行特定 攻击的指令进行相应处理
第12页/共27页
方式五 伪装成服务启动
服务型木马原理:将自己注册为一个服务程序,设置对应的服务启动类型为 某些特殊值,就可以实现自动启动
注册表的HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services记录 了系统内的所有服务
点击其中任何一个子键,就可以看到服务名称、执行路径、启动类型等属性
重启计算机后系统会自动启动所添加的程序 使用此方法添加的自启动程序在系统的“系统配置实用程序” 中找不到,
也不在熟知的注册表项中,而是在 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersio n\policies\explorer\run中
第11页/共27页
木马病毒制造者只要将其感兴趣的文件类型的文件关联改为木马 程序的,如.txt文件或.exe文件,这样打开一个文件文件或运行一个 程序时,木马也就神不知鬼不觉的启动了
如“广外女生”木马,修改 HKEY_CLASSES_ROOT\exefile\shell\open\command的键值"%1" %*"修改为“C:\WINDOWS\SYSTEM32\DIAGCFG.EXE "%1" %*", 此后运行任何可执行文件,都将启动该木马程序
第13页/共27页
第14页/共27页
方式五 伪装成服务启动
Windows系统提供了很多对服务进行操作的 接口,如:
打开某主机的服务控制器OpenSCManager() 创建服务CreateService() 启动服务StartService() 枚举服务EnumServicesStatusEx() 更改服务配置属性ChangeServiceConfig()
HKEY_CURRENT_USER\Software\Microsoft\Windo ws NT\CurrentVersion\Windows\Load:用户登录时 装载的程序
wk.baidu.com
等
第9页/共27页
方式三 通过任务计划启动
任务计划服务让用户指定系统在一个特定的时间、特定的 日期或者特定事件发生时(如,计算机启动时、用户登录 时)执行特定的程序
方式二 通过注册表启动
带Once子键下的键值在Windows启动时执行 完后会被清空,也就是说,只能启动一次, 因而不会出现在系统配置实用程序所列出 的项中,而其他子键下的值则会出现在其 中
有些木马制造者也正是利用了带Once键的 这一特点,在每次系统关闭时写入该子键, 来达到在系统下一个启动时不仅可以启动 木马而且可以很好的隐藏木马的目的
第7页/共27页
方式二 通过注册表启动
通过组策略启动
运行Gpedit.msc,打开“组策略”,看到“计算机配置”和“用户配置”, 展开其中的任意一项,可看到管理模板,展开“管理模板-系统-登录”, 双击“在用户登录时运行这些程序”子项进行属性设置
选定“设置”项中的“已启动”并单击“显示”按钮弹出“显示内容”, 再单击“添加”,填入要自动启动的程序的路径,单击“确定”按钮就 完成了设置
第2页/共27页
方式二 通过注册表启动
Windows注册表是一个庞大的数据库,存储 的信息包括软硬件的有关配置和状态信息, 应用程序和资源管理器外壳的初始条件、 首选项和卸载数据,系统的设置和各种许 可,文件扩展名与应用程序的关联,硬件 的描述、状态和属性,计算机性能记录和 底层的系统状态信息等。对系统设置的任 何改动都会在注册表中留下痕迹
第3页/共27页
方式二 通过注册表启动
注册表编辑器(Regedit.exe)是 Windows提供给用户的一个查看 和维护注册表的工具,其界面与 资源管理器的界面类似
界面左边窗格为注册表主键及子 键,右边为键值名称、类型和数 据
第4页/共27页
方式二 通过注册表启动
通过注册表中的RUN来启动 在安装某些程序的时
第15页/共27页
方式六 通过其他特定程序启动
寄生在特定程序中
木马和正常程序捆绑,有点类似于病毒,如将 文件命名为***.jpg.exe,对于隐藏已知文件类型 的查看方式下容易被启动
木马程序在正常程序文件后面加节,或者加在 正常程序文件节与节的空隙中实现捆绑
用户运行植入木马的“正常程序”时,木马程 序先获得控制权启动运行
在system32目录下的dllcache目录对系统的DLL文件做了备份,一旦操作系 统通过数字签名技术发现被保护的DLL文件被篡改,就会自动从dllcache 中恢复该文件
第18页/共27页
方式六 通过其他特定程序启动
印象劫持
HKEY_LOCAL_MACHINE\SOFTWARE\Micro soft\Windows NT\CurrentVersion\Image File Execution Options
GetNetScheduleAccountInformation() 设置任务计划服务的帐户名称和密码
SetNetScheduleAccountInformation()
使用代码添加本地任务第演10页示/共27页
方式四 通过文件关联启动
文件关联:规定某种格式的文件用哪个程序打开,或者用某个程 序打开哪些文件
HKEY_CURRENT_U脑SE重R\启Sof之tw后are只\M运icr行oso一ft\次Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersio n\RunOnce:在系统下次重启时执行的程序
第16页/共27页
方式六 通过其他特定程序启动
代替其他程序启动
在系统运行过程中,有许多程序是自动运行的, 如磁盘清理程序(cleanmgr.exe)、输入法程序 (internat.exe)等
通过覆盖系统自动运行的文件,而不必改变任 何设置,系统就可以自动运行它们
或者利用其他技巧,如伴随感染法,利用 windows路径的优先级,将与系统运行文件名同 名的木马程序考入优先级更高的路径
木马的启动方式
会计学
1
主要内容
通过启动项启动 通过注册表启动 通过任务计划启动 通过文件关联启动 伪装成服务启动 通过其他特定程序启动 通过驱动启动 利用浏览器启动 利用自动运行功能
第1页/共27页
方式一 通过启动项启动
加在“开始”-“程序”-“启动”中 加载启动项中的程序在系统启动后会自动运行,而且要在启动项
第20页/共27页
方式八 利用浏览器启动
Explorer和IE浏览器在启动时会加载一些组件,因 此木马很有可能伪装成这些组件的一部分而被启 动
通过BHO启动
BHO: Browser Helper Object,浏览器辅助对象,是微软推出 的作为浏览器第三方程序员开放交互接口。通过这个接口, 程序员可以编写代码来获取浏览器的行为,还可以编写代码 来控制浏览行为
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run Once
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersio n\RunOnceEx
在启动顺序上,系统首先启动HKEY_LOCAL_MACHINE下定义的启 动项目,再去启动HKEY_CURRENT_USER下定义的启动项目
中增加程序非常简单,只需要将所需的文件或快捷方式放入管理 启动项文件的文件夹中即可 也可以从注册表可以找到这个文件夹,键值在 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersi on\Explorer\Shell Folders下,双击startup,可以查看文件夹的位置 这种方法简单易行,也比较常见,但较易发现木马程序,因此木 马使用此方式的程度不高
用户可以通过“添加任务计划”向导来添加自己的任务计 划,甚至可以写一段代码来进行远程添加,这也给木马留 下了自启动的机会
Windows提供了六个有关任务计划的API函数:
增加任务计划NetScheduleJobAdd() 删除任务计划NetScheduleJobDel() 枚举特定主机上的所有任务计划NetScheduleJobEnum() 获取特定主机上的任务信息NetScheduleJobGetInfo() 获得任务计划服务(AT服务)的账户名称
例如双击.txt文件,一般情况下会默认notepad.exe程序打开 文件关联可以通过“我的电脑”-“工具”-“文件夹选项”-“文件类
型”来设置 对于木马来说,可以通过修改注册表达到
注册表的HKEY_CLASSES_ROOT下,可以看到很多扩展名——所有的文 件类型都必须在这里注册,才是系统识别的文件类型
在系统下次重启时执行的程序hkeycurrentusersoftwaremicrosoftwindowscurrentversionrunoncehkeylocalmachinesoftwaremicrosoftwindowscurrentversionrunonceex在启动顺序上系统首先启动hkeylocalmachine下定义的启动项目再去启动hkeycurrentuser下定义的启动项目在安装某些程序的时候需要在电脑下次重新启动之后做一些初始化之类的动作这些启动项就放在注册表的runonce里面在电脑重启之后只运行一次方式二通过注册表启动在上述任意一个子键下添加字符串键值设置键值的数据为完整的程序路径就可以实现程序的自启动这是windwos应用程序常用的自启动方法也是木马最常用的自启动方法但由于应用很广很容易被人发现一旦用户感觉中了木马首先想到的就是查看这个启动项方式二通过注册表启动带once子键下的键值在windows启动时执行完后会被清空也就是说只能启动一次因而不会出现在系统配置实用程序所列出的项中而其他子键下的值则会出现在其中有些木马制造者也正是利用了带once键的这一特点在每次系统关闭时写入该子键来达到在系统下一个启动时不仅可以启动木马而且可以很好的隐藏木马的目的方式二通过注册表启动运行gpeditmsc打开组策略看到计算机配置和用户配置展开其中的任意一项可看到管理模板展开管理模板系统登录双击在用户登录时运行这些程序子项进行属性设置选定设置项中的已启动并单击显示按钮弹出显示内容再单击添加填入要自动启动的程序的路径单击确定按钮就完成了设置使用此方法添加的自启动程序在系统的系统配置实用程序中找不到也不在熟知的注册表项中而是hkeylocalmachinesoftwaremicrosoftwindowscurrentversionpoliciesexplorerrun中方式二通过注册表启动注册表中还有很多位置记录系统启动或用户登录时系统所启动执行的程序或脚本如
第19页/共27页
方式七 通过驱动启动
有的木马将自己伪装成驱动程序来实现自启动 系统扫描注册表的
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services键 下的键值来构造驱动程序列表 这个键下每个子键的start键值都是REG-DWORD型,表示该驱动程 序加载的时间 在安装驱动程序时,将start值设为0,1,2,该驱动程序就可以在 系统重启时启动 有的木马利用这个原理进行自启动
在 会被注册系统表中加载有一运系行列以“候 新R, 启un需 动”开要 之头在 后的电 做子脑 一键下 些,次 初该重 始键的键值在系统启动后 具体位置有以下几种: 化之类的动作,这些启
HKEY_LOCAL_MAC动HI项NE就\S放OF在TW注A册RE表\M的icrosoft\Windows\CurrentVersio n\Run:在系统启动时R执un行Once里面,在电
第5页/共27页
方式二 通过注册表启动
在上述任意一个子键下添加字符串键值, 设置键值的数据为完整的程序路径,就可 以实现程序的自启动
这是Windwos应用程序常用的自启动方法, 也是木马最常用的自启动方法
但由于应用很广,很容易被人发现,一旦 用户感觉中了木马,首先想到的就是查看 这个启动项
第6页/共27页
开发好的BHO插件以COM组件的形式存在。在注册表 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows \CurrentVersion\Explorer\Browser Helper Objects注册好后,每 当微软浏览器启动,BHO实例就会被创建,并且和浏览器运 行在相同的内存上下文里,因此能在可用的窗口和模块里完 成任何操作
第8页/共27页
方式二 通过注册表启动
通过其他位置启动
注册表中还有很多位置记录系统启动或用户登 录时系统所启动执行的程序或脚本,如:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows NT\CurrentVersion\Winlogon:用户登录时 系统启动的程序,例如用户GUI
如果将一个木马注册为BHO插件,就可以随着浏览器的启动 而启动
第21页/共27页
方式九 利用自动运行功能
修改autorun.inf文件 在用户打开磁盘时运行木马程序
第22页/共27页
利用工具查询
autoruns
第23页/共27页
启动类型
第24页/共27页
服务类型
第25页/共27页
系统配置实用程序(msconfig)
第17页/共27页
方式六 通过其他特定程序启动
通过API HOOK技术启动
这种方法主要针对DLL木马,技术性高,通过替换系统的DLL文件,让系 统启动指定的程序
当用户的应用程序调用某个API函数时,木马程序就会首先启动,然后利 用函数转发器将正常的调用转发给原DLL
当特定消息(事先约定的特定请求)到达时,木马视为对主机进行特定 攻击的指令进行相应处理
第12页/共27页
方式五 伪装成服务启动
服务型木马原理:将自己注册为一个服务程序,设置对应的服务启动类型为 某些特殊值,就可以实现自动启动
注册表的HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services记录 了系统内的所有服务
点击其中任何一个子键,就可以看到服务名称、执行路径、启动类型等属性
重启计算机后系统会自动启动所添加的程序 使用此方法添加的自启动程序在系统的“系统配置实用程序” 中找不到,
也不在熟知的注册表项中,而是在 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersio n\policies\explorer\run中
第11页/共27页
木马病毒制造者只要将其感兴趣的文件类型的文件关联改为木马 程序的,如.txt文件或.exe文件,这样打开一个文件文件或运行一个 程序时,木马也就神不知鬼不觉的启动了
如“广外女生”木马,修改 HKEY_CLASSES_ROOT\exefile\shell\open\command的键值"%1" %*"修改为“C:\WINDOWS\SYSTEM32\DIAGCFG.EXE "%1" %*", 此后运行任何可执行文件,都将启动该木马程序