TWed2k - 心得教學區 - [轉貼]木馬在Win2K/XP常見啟動位置

主題: [轉貼]木馬在Win2K/XP常見啟動位置 [打印本頁]

發表人: yjmg 時間: 2007-7-22 04:07 PM 主題: [轉貼]木馬在Win2K/XP常見啟動位置

木馬在Win2K/XP常見啟動位置

木馬程式開機時自動執行的位置
Windows開機時自動執行程式必須在win.ini, system.ini, registry, system service and start folder這五個地方內

執行其他檔案時附帶執行其他塊執行程式(可能是木馬)
HKEY_CLASSES_ROOT\exefile\shell\open\commnad
正常值 @="\"%1\"%*"
可能異常值 @="window.exe\"%1\"%*"

Win.ini
Path c:\windows\win.ini
Load and RUN 這二個參數一般不會設定, 或後面是空白, 如果有要執行檔案要小心.
如果 rem RUN=c:\windows\server.exe重新啟動後變回RUN=c:\windows\server即為木馬

System.ini
Path c:\windows\system.ini
如果在Boot區中有以下內容, 九成是木馬
[boot]
shell= Explorer.exe c:\windows\server.exe
一開始會報行檔案總管, 而檔案總管會執行c:\winodws\server.exe這個檔案

一般Windows系統執行程式大多位於這裡
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RUN
常用的幾個程式
internat.exe scanregw.exe SysTray.exe taskmon.exe Sage.exe Rundll32.exe mstask.exe

常用在System Service中的檔案
svchost.exe clipsrv.exe dllhost.exe msdtc.exe services.exe fxssvc.exe imapi.exe cisvc.exe
lsass.exe dmadmin.exe mnmsrvc.exe netdde.exe smlogsvc.exe spoolsv.exe rsvp.exe
sessmgr.exe locator.exe SCardSvr.exe tlntsvr.exe ups.exe vssvc.exe msiexec.exe wmiapsrv.exe
alg.exe(WinXP才有)

系統溢位當機攻擊
利用程式設計的漏洞, 造成溢位(Overflow)當機
封包溢位當機: 這是利用Winsock中的設計漏洞, 送出過大的資包造成win9x 或 winNT電腦立刻當機,或重新開機, 造成拒絕服務的攻擊
裝置命令當機: 這是利用Win的Dos的裝置命令漏洞來讓電腦當機, 造成拒絕服務攻擊
SMB當機攻擊: 這是利用SMB連線服務中的緩衝區溢位漏洞,造成win2K and WinXP當機後重新開,造成拒絕服務攻擊

軟體溢位當機攻擊
所指的是伺服器所使用的網路軟體, 如:IIS, Apache, FTP Server, 其中以緩衝區溢位漏洞最常被利用設計出蠕蟲病毒

1. 上網捉可以除移木馬的工具.

2. 可以重新開機後, F8進入安全模式, 將被修改的還原為正常值再刪除其所執行的檔案, 但現在木馬會作假裝, 不容易找到其真身在那裡.

發表人: mmcatdog 時間: 2007-7-23 10:37 AM

這類木馬寫法已經落伍了大部分寫在service中或是外掛載入explorer
目前大都使用亂數編排在登錄檔中相當難處理

歡迎光臨 TWed2k (http://twed2k.org/)