狡“马”三“窟”
安全阵地
讨论木马加载方法的文章已经很多了,不过笔者最近发现木马加载又有了新的方法。通过这些方法加载的木马,隐蔽性更强,我们在MSCONFIG和启动项中都无法看到它们的踪影,甚至在服务列表中也找不到它们。现在,笔者就采用普通操作的方式,为大家分析一下它们的入侵过程,大家可以通过对这些过程的了解,找出隐藏在机器中的木马。
一窟:组策略加载法
第一步,依次点击“开始→运行”,在“运行”对话框中输入“gpedit.msc”,启动组策略编辑器。
第二步,在“组策略”窗口中,依次选择“用户配置→管理模板→系统→登录”,在右边选项中双击“在用户登录时运行这些程序”,在弹出的属性窗口中选择“已启用”。
第三步,在“登录时运行的项目”中点击“显示”按钮,接着点击“添加”按钮选择启动时需要加载的程序。
提示:木马通过将自身程序设定在组策略中随系统登录而启动,从而实现了每次登录系统都加载相应的木马程序。用户可以借鉴以上步骤对木马进行查找。
二窟:注册表policies键值
其实在注册表中,有很多键值可以实现随系统启动而加载相应的程序,并不是我们常说的Run、RunONCE等。例如“HKEY_CURRENT_US ER\Software\Microsoft\Windows\Current Version\Policies\Explorer\Run”项的键值也可以实现自动加载的目的。
提示:木马通过在policies键值中添加项目从而使得自己可以随系统启动而启动。因此,用户可以在该键值中查找木马、清除木马。
三窟:注册表新键值
还有一种新的利用注册表隐藏木马的方法,那就是在注册表中的“HKEY_CURRENT_USER\Software\Mic rosoft\Windows NT\CurrentVersion\Win dows”项中建立一个字符串,命名为load,把它的键值改为要自行启动的程序的路径即可。
提示:在注册表中还有很多地方可以实现程序随系统启动而启动,通过在这些地方添加木马程序就可以实现木马的自动加载。
按照上述方法进行设置后,木马程序就可以随着系统的启动而自动运行了,在MSCONFIG和启动项中都无法看到它的踪影,甚至在服务列表中也找不到该程序。因此,在清剿木马的时候,大家不妨到这三“窟”去清理一下,也许你要找的木马程序就藏在这些地方。