【标 题】:病毒编写Windows 的自启动(5)
【关键字】:Windows,in,Win,病毒,启动,Window,do,Wi,Windows
【来 源】:网络
最关键的是该Autorun.inf文件是可以被用在硬盘的驱动器上的。也就是说,如果把光盘上的所有文件及目录原封不动的复制到某一硬盘的根目录下,则双击盘符会出现自动运行文件!
如果是木马的话,打一个比方:一个木马如果执行后被命名为aaa.exe放置在C:\Windows\目录下。那么该木马可以生成一个autorun.inf
文件于C:\下,内容如下:
[AUTORUN]
OPEN=Windows\aaa.exe
ICON=aaa.exe
这样的话,盘符图标为aaa.exe的第一个图标文件。则在每次双击C盘的时候都会执行aaa.exe文件了。但要注意的是,aaa.exe文件
最好能够打开C盘目录。(比较容易伪装)
注意:
1.autorun.inf的属性被改为隐藏后仍可以正常使用。
2.autorun.inf中的路径对相对路径和绝对路径都是可以实现的。也就是说,如果autorun.inf被放在1盘符下,也可以2盘符上的文件!如:
如果把autorun.inf文件放在C盘根目录下,内容为
[AUTORUN]
OPEN=D:\CCC\bbb.exe
ICON=bbb.exe
则这时如果双击C盘则可以执行D盘CCC目录上的bbb.exe文件!
3.如果没有OPEN项目,则系统不执行任何文件,而去执行下一个命令。
4.如果没有ICON项目,则该盘符的图标为原Windows盘符图标,但如果有ICON项却设置错误,或者所设置的文件没有图标,则系统会显示为默认的空白图标。
5.自动启动相关:
1.代启动:
这种启动方式其实只是一个方法的问题。即可以用启动一个正常文件来启动另一个文件,SubSeven就用过启动Windos.exe从而启动SubSeven的Sever文件的方法。
2.Start启动:
在“运行“中或“MS-DOS”方式中输入start回车,则会显示
Runs a Windows program or an MS-DOS program.
START [options] program [arg...]
START [options] document.ext
/m[inimized] Run the new program minimized (in the background).
/max[imized] Run the new program maximized (in the foreground).
/r[estored] Run the new program restored (in the foreground). [default]
/w[ait] Does not return until the other program exits.
如果要启动的程序配合这个命令,则可以更加隐蔽,如:
start/m file.exe
但似乎有些有启动画面的软件(如金山词霸)对这条命令并没有反映。
3.控制面板启动:
这是利用控制面板程序可以被类似DLL执行,从而达到启动目的。
在控制面板中,.cpl文件是控制面板的原文件。默认的这些文件都会被放置在/%WINDOWS%/SYSTEM/目录下的,如desk.cpl是桌面属性、inetcpl.cpl是Internet选项之类。但这些.cpl文件全都是PE格式文件,也就是说如果用户把一个可执行的类似DLL的.cpl文件放入%\Windows%\System\中,则在控制面板中可看到其图标,并可执行!
由于.cpl文件的特殊性,需要使用rundll32.exe来启动该文件。rundll32.exe是Windows用来调用动态连接库函数时所使用的文件,在运行中输入:
rundll32 shell32.dll,Control_RunDLL /%path%/desk.cpl,,X
其中shell32.dll为被调用的DLL文件,意思为调用shell32.dll中的Control_RunDLL来打开desk.cpl文件;/%path%/为.cpl文件的路径,默认为C:\Windows\System;最后的X为desk.cpl文件的页数:从0开始,0为第一页(如“显示属性”的“背景”),1为第二页(如“桌面属性”的“屏幕保护程序”),依此类推。
但如果照上面的方法做,则该文件会在控制面板中被显示。有两种方法可以不让其显示:
1. 不要把自己的.cpl文件放在C:\WINDOWS\SYSTEM中。因为默认的情况下Windows会加载的所有.cpl文件。如果想让其显示则打开C:\WINDOWS\下的Control.ini文件,在[MMCPL]中写入类似:
file.cpl=D:\path\file.cpl
的命令,从而达到显示的目的。
2. 当你看到Control.ini文件的时候一定可以看到在[MMCPL]上面的[don‘t load]。是的,如果把你的文件以file.cpl=no的格式写入到这里面,那么文件就不被加载了。反之恢复。
4.其他:
注册表中:
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
的“HideFileExt”这个键值是确定Windows是不是显示扩展名的值,如果其值为1就隐藏扩展名,为0则不隐藏。
EXE文件中:
如SirCam蠕虫一样,*.EXE文件的扩展名可以改名称为.BAT、.COM、.PIF、.SCR等,并且运行效果一样,反过来不一定。但.EXE文件并不能更名为.LNK文件,这也许也是SirCam的一个BUG。
最后:
Windows的自启动方式有很多样式。这是Windows系统的一部分。一个隐蔽而又很少有人知道的自启动方式是远程监控软件成为一个优秀的软件的必要的条件。对于普通用户来说,了解这些信息也是非常必要的。笔者试图全面的介绍这些可以启动的方法和想法。文中提到的一些自启动方法有的很普通,有的则很少有人知道,有些方式甚至有可能是第一次被写出来。其中的许多方式笔者加入了自己的想法,使一些方式虽然普通但却很隐蔽。
其中所提的自启动方式全部在Windows98或提到的相应的系统中默认测试通过。对Windows ME和Windows2000只有部分适用。通过对不同平台的自启动方式测试,也可以发现Windows系统还是朝着越来越完善的方向发展。所以在未来的某个WINDOWS版本中,笔者不能保证这些能被使用。但总会有一些可以利用的地方。如果这篇涂鸦能给各位读者带来一些启发,那么笔者将会感到非常高兴!
由于时间仓促再加上笔者所学有限,文中错误之处一定不少,望读者海涵。
【关键字】:Windows,in,Win,病毒,启动,Window,do,Wi,Windows
【来 源】:网络
病毒编写Windows 的自启动(5)
如果是木马的话,打一个比方:一个木马如果执行后被命名为aaa.exe放置在C:\Windows\目录下。那么该木马可以生成一个autorun.inf
文件于C:\下,内容如下:
[AUTORUN]
OPEN=Windows\aaa.exe
ICON=aaa.exe
这样的话,盘符图标为aaa.exe的第一个图标文件。则在每次双击C盘的时候都会执行aaa.exe文件了。但要注意的是,aaa.exe文件
最好能够打开C盘目录。(比较容易伪装)
注意:
1.autorun.inf的属性被改为隐藏后仍可以正常使用。
2.autorun.inf中的路径对相对路径和绝对路径都是可以实现的。也就是说,如果autorun.inf被放在1盘符下,也可以2盘符上的文件!如:
如果把autorun.inf文件放在C盘根目录下,内容为
[AUTORUN]
OPEN=D:\CCC\bbb.exe
ICON=bbb.exe
则这时如果双击C盘则可以执行D盘CCC目录上的bbb.exe文件!
3.如果没有OPEN项目,则系统不执行任何文件,而去执行下一个命令。
4.如果没有ICON项目,则该盘符的图标为原Windows盘符图标,但如果有ICON项却设置错误,或者所设置的文件没有图标,则系统会显示为默认的空白图标。
5.自动启动相关:
1.代启动:
这种启动方式其实只是一个方法的问题。即可以用启动一个正常文件来启动另一个文件,SubSeven就用过启动Windos.exe从而启动SubSeven的Sever文件的方法。
2.Start启动:
在“运行“中或“MS-DOS”方式中输入start回车,则会显示
Runs a Windows program or an MS-DOS program.
START [options] program [arg...]
START [options] document.ext
/m[inimized] Run the new program minimized (in the background).
/max[imized] Run the new program maximized (in the foreground).
/r[estored] Run the new program restored (in the foreground). [default]
/w[ait] Does not return until the other program exits.
如果要启动的程序配合这个命令,则可以更加隐蔽,如:
start/m file.exe
但似乎有些有启动画面的软件(如金山词霸)对这条命令并没有反映。
3.控制面板启动:
这是利用控制面板程序可以被类似DLL执行,从而达到启动目的。
在控制面板中,.cpl文件是控制面板的原文件。默认的这些文件都会被放置在/%WINDOWS%/SYSTEM/目录下的,如desk.cpl是桌面属性、inetcpl.cpl是Internet选项之类。但这些.cpl文件全都是PE格式文件,也就是说如果用户把一个可执行的类似DLL的.cpl文件放入%\Windows%\System\中,则在控制面板中可看到其图标,并可执行!
由于.cpl文件的特殊性,需要使用rundll32.exe来启动该文件。rundll32.exe是Windows用来调用动态连接库函数时所使用的文件,在运行中输入:
rundll32 shell32.dll,Control_RunDLL /%path%/desk.cpl,,X
其中shell32.dll为被调用的DLL文件,意思为调用shell32.dll中的Control_RunDLL来打开desk.cpl文件;/%path%/为.cpl文件的路径,默认为C:\Windows\System;最后的X为desk.cpl文件的页数:从0开始,0为第一页(如“显示属性”的“背景”),1为第二页(如“桌面属性”的“屏幕保护程序”),依此类推。
但如果照上面的方法做,则该文件会在控制面板中被显示。有两种方法可以不让其显示:
1. 不要把自己的.cpl文件放在C:\WINDOWS\SYSTEM中。因为默认的情况下Windows会加载的所有.cpl文件。如果想让其显示则打开C:\WINDOWS\下的Control.ini文件,在[MMCPL]中写入类似:
file.cpl=D:\path\file.cpl
的命令,从而达到显示的目的。
2. 当你看到Control.ini文件的时候一定可以看到在[MMCPL]上面的[don‘t load]。是的,如果把你的文件以file.cpl=no的格式写入到这里面,那么文件就不被加载了。反之恢复。
4.其他:
注册表中:
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
的“HideFileExt”这个键值是确定Windows是不是显示扩展名的值,如果其值为1就隐藏扩展名,为0则不隐藏。
EXE文件中:
如SirCam蠕虫一样,*.EXE文件的扩展名可以改名称为.BAT、.COM、.PIF、.SCR等,并且运行效果一样,反过来不一定。但.EXE文件并不能更名为.LNK文件,这也许也是SirCam的一个BUG。
最后:
Windows的自启动方式有很多样式。这是Windows系统的一部分。一个隐蔽而又很少有人知道的自启动方式是远程监控软件成为一个优秀的软件的必要的条件。对于普通用户来说,了解这些信息也是非常必要的。笔者试图全面的介绍这些可以启动的方法和想法。文中提到的一些自启动方法有的很普通,有的则很少有人知道,有些方式甚至有可能是第一次被写出来。其中的许多方式笔者加入了自己的想法,使一些方式虽然普通但却很隐蔽。
其中所提的自启动方式全部在Windows98或提到的相应的系统中默认测试通过。对Windows ME和Windows2000只有部分适用。通过对不同平台的自启动方式测试,也可以发现Windows系统还是朝着越来越完善的方向发展。所以在未来的某个WINDOWS版本中,笔者不能保证这些能被使用。但总会有一些可以利用的地方。如果这篇涂鸦能给各位读者带来一些启发,那么笔者将会感到非常高兴!
由于时间仓促再加上笔者所学有限,文中错误之处一定不少,望读者海涵。
【相关文章】
Tini 的VC原代码
Win9x病毒--Win95.LockIEPage.878原代码
怎样启动一个程序而不显示它
Win32教程8-菜单
Win32教程9-子窗口控件
汉语编程欲颠覆WINDOWS 是技术还是谎言?
探测Win2K/XP/2003本机系统信息 上
探测Win2K/XP/2003本机系统信息 下
VBS脚本病毒原理分析与防范
编写Linux服务器远程管理程序
【随机文章】
Resource Kit 中文版帮助 二
AIX系统日常管理
Eclipse RCP开源项目
PXDAQ声发射信号采集卡
XMLHTTP组件一些小知识
网络世界的“后门”的故事
Photoshop 制作数码点阵效果
cronolog,格式化Apache的日志文件
新闻发布程序(多用户),附代码
如何建立安全的ProFTPD应用经验谈
【相关评论】
没有相关评论
【发表评论】
|