扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
根据上面的原理,就可以自己写一个无窗口或隐藏窗口的控制面板程序,将其写进注册表的启动项,使之可以自启动。如果你编写的控制面板程序是木马的话,则不仅中木马者感到不知所然,就连木马克星等软件也会不知所措!
具体步骤就是在注册表启动项中加入RunDll32 shell32.dll,Control_RunDll mycpl.cpl。这样,这个mycpl.cpl就会随用户机器启动的时候被调用—就象DLL文件被执行一样!注意,mycpl.cpl如果保存在默认目录中,可以不加路径直接调用,否则就要加上路径。控制面板在执行的时候会加载System子目录中的所有*.cpl文件,所以只要把这个cpl木马放在System(Win9x)或System32(Win2K/XP)子目录中就可以达到目的。要提醒大家的是,如果mycpl.cpl真是木马的话,那么别人一定会给它改个名字,或替换掉系统中那些不常用的cpl文件,使你疏于察觉。
是不是只有把cpl文件放到System或System32子目录下才会被加载呢?不是的!如果你的控制面版程序不在Windows目录,假设在D:\ok下,而你想让它在控制面版里显示。你只要编辑control.ini文件,在[MMCPL]小节里面加入:mycpl.cpl=D:\ok\mycpl.cpl就可以了。如果不想让cpl文件显示在控制面板中该怎么办呢?依然从control.ini文件入手!打开该文件,在[don't load]小节中加入:mycpl.cpl=no,那么这个mycpl.cpl文件就不被加载了。
如果有人利用这种方式进行攻击,防范方法是经常检查注册表的启动项,发现用RunDll32.exe调用.cpl文件的就杀无赦,斩立决!将这个注册表键值立刻删除,然后按键值提供的路径找到这个cpl文件把它删除。
超长目录中隐藏的木马
给我们下木马的人要想在我们的电脑中隐藏木马文件,会绞尽脑汁,利用Windows系统建立超长目录然后在其中隐藏木马就是手段之一。
请大家和我一起做一个实验。打开“资源管理器”,在任意一个磁盘(假设是E盘)下建立一个目录,假设为good,然后进入此目录,在它的下面再建立一个子目录,假设为123,然后在123子目录下再建立一个子目录test,现在test这个目录的绝对路径就是:E:\good\123\test。接下来把你要隐藏的目录和文件都拷贝test子目录下。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。