打开木马程序命令提示_打开木马程序命令

hacker|
205

木马的启动方式有几种

方式一:借助启动程序

此方式是最常见的,像一般的软件设置引导是一样的,但现在的木马一般不使用这种方式,因为当它们出现在 “开始” 菜单的 “开始” 时,很容易找到行踪并被处置。

方式二:借助注册表

直接调用注册表进行启动,这是很多Windows程序采用的 *** ,也是木马最常用的 *** 。使用起来很方便,但是很容易被发现。因为应用广泛,几乎一提到木马就会让人想到这些注册表中的主键,而木马通常使用最后一个。

方式三:通过DOS自启动程序

一般会借助一些在DOS系统下会自动启动的程序文件,这些文件在DOS环境下会自动启动木马也会借助这些文件来启动。

其实这种 *** 并不适合木马使用,因为该文件会在Windows启动前运行,这时系统处于DOS环境,只能运行16位应用程序,Windows下的32位程序是不能运行的。木马此时也就失效了,但是仍然要防范,因为木马的伪装就是要做到让你无从下手。

方式四:通过System.ini文件启动

实际上,System.ini文件并没有给用户可用的启动项目,然而通过它启动却是非常好用的。在System.ini文件的“Boot”域中的Shell项的值正常情况下是explorer exe,这是Windows的外壳程序,换一个程序就可以彻底改变Windows 的面貌。

方式五:寄生于特定程序之中跟随程序启动

即木马和正常程序捆绑,有点类似于病毒,程序在运行时,木马程序先获得控制权或另开一个线程以监视用户操作、截取密码等,这类木马编写的难度较大,需要了解PE文件结构和Windows的底层知识。

方式六:将特定的程序改名

木马会将自己的图标修改为一些常用的程序图标,然后把原有的的程序卸载或者隐藏,一旦用户去启动这些程序则主动地启动了这些木马程序。

方式七:文件关联

一般情况下木马程序会将自己和TXT文件或EXE文件关联,这样当打开一个文本文件或运行一个程序时,木马也就偷偷地启动了。

电脑中了电脑病毒木马解决 *** 介绍

电脑中了电脑病毒木马怎么办!不要急,下面由我给你做出详细的电脑中了电脑病毒木马解决 *** 介绍!希望对你有帮助!

电脑中了电脑病毒木马解决 *** 介绍:

木马的危害之大想必大家也非常清除, "木马"程序会想尽一切办法隐藏自己,主要途径有:在任务栏中隐藏自己,这是最基本的只要把Form的属性设为False、ShowInTaskBar设为False,程序运行时就不会出现在任务栏中了。

在任务管理器中隐形:将程序设为"系统服务"可以很轻松地伪装自己。当然它也会悄无声息地启动,你当然不会指望用户每次启动后点击"木马"图标来运行服务端,,"木马"会在每次用户启动时自动装载服务端,Windows系统启动时自动加载应用程序的 *** ,"木马"都会用上,如:启动组、win.ini、system.ini、注册表等等都是"木马"藏身的好地方。下面具体谈谈"木马"是怎样自动加载的。

电脑木马躲藏路径:

在win.ini文件中,在[WINDOWS]下面,"run="和"load="是可能加载"木马"程序的途径,必须仔细留心它们。一般情况下,它们的等号后面什么都没有,如果发现后面跟有路径与文件名不是你熟悉的启动文件,你的计算机就可能中上"木马"了。当然你也得看清楚,因为好多"木马",如"AOLTrojan木马",它把自身伪装成command.exe文件,如果不注意可能不会发现它不是真正的系统启动文件。

在system.ini文件中,在[BOOT]下面有个"shell=文件名"。正确的文件名应该是"explorer.exe",如果不是"explorer.exe",而是"shell=explorer.exe程序名",那么后面跟着的那个程序就是"木马"程序,就是说你已经中"木马"了。

在注册表中的情况最复杂,通过regedit命令打开注册表编辑器,在点击至:"HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run"目录下,查看键值中有没有自己不熟悉的自动启动文件,扩展名为EXE,这里切记:有的"木马"程序生成的文件很像系统自身文件,想通过伪装蒙混过关,如"AcidBatteryv1.0木马",它将注册表"HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"下的Explorer键值改为Explorer="C:\WINDOWS\expiorer.exe","木马"程序与真正的Explorer之间只有"I"与"l"的差别。

当然在注册表中还有很多地方都可以隐藏"木马"程序,如:"HKEY-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Run"、"HKEY-USERS\****\Software\Microsoft\Windows\CurrentVersion\Run"的目录下都有可能,更好的办法就是在"HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run"下找到"木马"程序的文件名,再在整个注册表中搜索即可。

木马怎样启动?

多数木马都会把自身复制到系统目录下并加入启动项(如果不复制到系统目录下则很容易被发现,不加入启动项在重启后木马就不执行了),启动项一般都是加在注册表中的,具 *** 置在:HKEY_LOCAL _MACHINE/Software /Microsoft/Windows/CurrentVersion下所有以“run”开头的键值;HKEY_CURRENT_USER/Software/ Microsoft/Windows/CurrentVersion下所有以“run”开头的键值;HKEY_USERS/Default/Software/Microsoft/Windows/CurrentVersion下所有以“Run”开头的键值。

不过,也有一些木马不在这些地方加载,它们躲在下面这些地方:

●在Win.ini中启动

在Win.ini的[windows]字段中有启动命令“load=”和“run=”,在一般情况下“=”后面是空白的,如果有程序,比方说是: run=c:/windows/file.exe或load=c:/windows/file.exe,要小心了,这个file.exe很可能就是木马。

●在System.ini中启动

System.ini位于Windows的安装目录下,其[boot]字段的shell=Explorer.exe是木马喜欢的隐蔽加载之所,木马通常的做法是将该句变为这样:shell=Explorer. exe window.exe,注意这里的window.exe就是木马程序。

另外,在System.ini中的[386Enh]字段,要注意检查在此段内的“driver=路径/程序名”,这里也有可能被木马所利用。再有,在System.ini中的[mic]、[drivers]、[drivers32]这三个字段,这些段也是起到加载驱动程序的作用,但也是增添木马程序的好场所。

●在Autoexec.bat和Config.sys中加载运行

这种加载方式一般都需要控制端用户与服务端建立连接后,将已添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行,而且采用这种方式不是很隐蔽,所以这种 *** 并不多见,但也不能因此而掉以轻心。

●在Winstart.bat中启动

Winstart.bat是一个特殊性丝毫不亚于Autoexec.bat的批处理文件,也是一个能自动被Windows加载运行的文件。它多数情况下为应用程序及Windows自动生成,在执行了Win.com并加载了多数驱动程序之后开始执行。由于Autoexec.bat的功能可以由Winstart.bat代替完成,因此木马完全可以像在Autoexec.bat中那样被加载运行,危险由此而来。

●启动组

木马隐藏在启动组虽然不是十分隐蔽,但这里的确是自动加载运行的好场所,因此,还是有木马喜欢在这里驻留的。启动组对应的文件夹为:C: /Windows/Start Menu/Programs/StartUp,在注册表中的位置:HKEY_CURRENT_USER/Software/Microsoft/Windows/ CurrentVersion/Explorer/Shell Folders Startup="C:/windows/start menu/programs/startup"。

●*.INI

即应用程序的启动配置文件,控制端利用这些文件能启动程序的特点,将 *** 好的带有木马启动命令的同名文件上传到服务端覆盖同名文件,这样就可以达到启动木马的目的了。

●修改文件关联

修改文件关联是木马常用手段(主要是国产木马,老外的木马大都没有这个功能),比方说,正常情况下txt文件的打开方式为Notepad.EXE文件,但一旦中了文件关联木马,则txt文件打开方式就会被修改为用木马程序打开,如著名的冰河就是这样干的。一旦你双击一个txt文件,原本应用Notepad打开该文件的,现在却变成启动木马程序了。请大家注意,不仅仅是txt文件,其他诸如HTM、EXE、ZIP、COM等都是木马的目标。对付这类木马,只能检查HKEY_CLASSES_ROOT/文件类型/shell/open/command主键,查看其键值是否正常。

●捆绑文件

实现这种触发条件首先要控制端和服务端已通过木马建立连接,然后,控制端用户用工具软件将木马文件和某一应用程序捆绑在一起,然后上传到服务端覆盖原文件,这样,即使木马被删除了,只要运行捆绑了木马的应用程序,木马又会被安装上去了。绑定到某一应用程序中,如绑定到系统文件,那么,每一次Windows启动均会启动木马。

如何DOS命令执行你的木马,用sql上传好了,不知道怎么dos打开木马

在DOS中找到你所放文件的目录~在输入小马名称(带后缀),在回车就OK

0条大神的评论

发表评论