| [AutoRun] open=regedit /s ShareDrives.reg // 这里/s参数作用是导入注册表信息不显示任何提示 |
再另存为AutoRun.inf文件。
将这两个文件复制到对方共享出来的驱动盘根目录下,此后只要双击共享出来的驱动盘就会自动将ShareDrives.reg文件导入注册表,对方重启系统后C盘也就共享出来了。试想想,我们如果在 “open=…”句后添上木马名并将已配置好的木马服务端一起复制过去,以后会怎样?
那么如何对付这种攻击呢?因为硬盘根目录下基本不需要AutoRun.inf文件来运行程序,因此我们可以采用一个一劳永逸的办法就是将硬盘的AutoRun功能完全关闭,这样即使硬盘根目录下有AutoRun.inf文件,操作系统也不会运行指定的程序。Win98为例,打开注册表编辑器,找到[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPolicIEsExplorer]主键,在注册表编辑器右侧框中可以看到有二进制值“NoDriveTypeAutoRun”,最后只需要将其数据数值由默认的“95 00 00 00”改为“9d 00 00 00”就可以了。其原理我就不在讲解了。
3、启动黑客程序
利用注册表启动黑客程序,目的是想每次开机启动时自动运行黑客程序,这同时也是很多木马病毒自启动常用的方法之一。普遍的方法是在将黑客程序名及参数添加到注册表相应的键值下,这样一来,每次开机时计算机将自动加载相应的注册表项,进而使黑客程序达到常驻内存的目的。另外还有更为隐蔽的方法会在“注册表与木马病毒”部分详细介绍。
下面我们打开注册表编辑器,查看:
| HKEY_LOCAL_MacHINESoftwareMicrosoftWindowsCurrentVersion下所有以“run”开头的键值; HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion下所有以“run”开头的键值; HKEY_USERS.DefaultSoftware MicrosoftWindowsCurrentVersion下所有以“run”开头的键值。 |
如果发现未知不明的键值,可很有可能就是非法植入的程序。
标签:
