开并且可能产生危险后果的功能的程序。
(4)具备自动恢复功能。
(5)能自动打开特别的端口。
(6)功能的特殊性。
2.1.3中木马后出现的状况
也许你会对硬盘空间莫名其妙减少500 M感到习以为常,这的确算不了什么。可是,还是有一些现象会让你感到警觉,一旦你觉得你自己的电脑感染了木马,你应该马上用杀毒软件检查一下自己的计算机,然后不管结果如何,就算是Norton告诉你,你的机器没有木马,你也应该再亲自作一次更深人的调查,确保自己机器安全。经常关注新的和出名的木马的特性报告,这将对你诊断自己的计算机问题很有帮助。
(1)当你浏览一个网站,弹出来一些广告窗口是很正常的事情,可是如果你根本没有打开浏览器,而浏览器突然自己打开,并且进入某个网站,那么,你要小心。
(2)你正在操作电脑,突然一个警告框或者是询问框弹出来,问一些你从来没有在电脑上接触过的问题。
(3)你的Windows系统配置老是莫名其妙地自动被更改。比如屏保显示的文字,时间和日期,声音大小,鼠标灵敏度,还有CD-ROM的自动运行配置等。
(4)硬盘没缘由地读盘,软驱灯经常自己亮起,网络连接及鼠标屏幕出现异常现象。
当然,没有上面的种种现象并不代表你就绝对安全。
2.1.4木马启动
作为一个优秀的木马,自启动功能是必不可少的,这样可以保证木马不会因为你的一次关机操作而彻底失去作用。经
常用的方法主要有以下几种:
(1)在Win.ini中启动:
在Win.ini的[windows]字段中有启动命令"load="和"run=",在一般情况下 "="后面是空白的,木马可以在他后面跟程序。
(2)在System.ini中启动:
木马通常的做法是将其[boot]字段的shell=Explorer.exe变为:shell=Explorer.exefile.exe。这里的file.exe就是木马服务端程序了。另外,木马也可以利用其[386Enh]字段内的"driver=路径\程序名"。 [mic]、[drivers]、[drivers32]这3个字段也是增添木马程序的好场所。
(3)利用注册表加载运行:
在注册表位置下的一些程序中加载运行。
(4)在Autoexec.bat和Config.sys中加载运行:
这种加载方式一般都需要控制端用户与服务端建立连接后,将己添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行,而且采用这种方式不是很隐蔽。
(5)在Winstart.bat中启动:
Winstart.bat是一个特殊性丝毫不亚于Autoexec.bat的批处理文件,也是一个能自动被Windows加载运行的文件。它多数情况下为应用程序及Windows自动生成,在执行了Win.com并加载了多数驱动程序之后开始执行。
(6)启动组:
木马隐藏在启动组虽然不是十分隐蔽,但这里的确是自动加载运行的好场所。启动组对应的文件夹为C:\Windows\start menu\programs\startup,在注册表中的位置: HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Explorer\shell
Folders Startup="c:\windows\start menu\programs\startup"。要注意经常检查启动组。
(7)*.INI:
即应用程序的启动配置文件。控制端利用这些文件能启动程序的特点,将制作好的带有木马启动命令的同名文件上传到服务端覆盖这同名文件,这样就可以达到启动木马的目的了。
(8)修改文件关联:
修改文件关联是木马们常用手段,比方说正常情况下TXT文件的打开方式为Notepad.EXE文件,但一旦中了文件关联木马,则txt文件打开方式就会被修改为用木马程序打开。
(9)捆绑文件:
实现这种触发条件首先要使控制端和服务端通
相关热词:delphi 木马 程序 设计 实现 delphi