木马隐藏方式

<!DOCTYPE html>

木马隐藏方式

木马隐藏方式

早期,简单的将文件属性设置为隐藏。

后来,线程注射技术

?进程,可执行文件在运行期间,请求系统在内存中开启给它的数据信息块。系统通过控制这个块,来为程序提供数据交换和决定程序生存期限。

?线程,是在一个进程中产生多个执行进度的实例。如果进程是所有的暑假作业,线程可能就是语文数学英语物理化学生物作业了。

多线程技术,那就很好理解,你可以语文作业做了一点,数学做了一点,英语做了一点,没必要一门科目全部做完再做其他科目的。

       进程    {线程1,线程2,线程3……}

远程线程注射技术:通常,各个进程的内存空间不可以相互访问。产生一个特殊的线程,它能够连接到另一个进程所处的内存空间中,作为非核心线程来运行。


hook,处理消息的程序,相当于老板的女秘书吧,不过没有那么多功能。。囧


木马编写者:1将木马主体DLL文件载入内存

                      2线程注射,进入其他程序

                      3通过hook技术,监视用户的消息。


方法一:

Userinit项——系统启动程序。它可以自动加载程序,用于管理不同的启动顺序




方法二:AutoRun.inf告诉新插入的光盘或硬件应该自启动

建立一个文本文件:第一行是必需的标准格式。第二行,给硬盘或光盘设定图标,Shell32.DLL是系统文件的意思,21表示显示编号为21。第三行,指出要运行程序的路径以及文件名。

也可以运行某个注册表文件,不过我们首先要在注册表文件中设置好,Autorun只是运行而已。

Open=regedit/s Share.reg;

加s参数是为了导入时不会显示任何信息,后面的则是已经写好的注册表程序。


然而,好像失败了。



方法三:

下面是可以找到木马踪迹的地方,用”运行+msconfig“命令打开


由于我的电脑是win8中文版,没有组策略,所以用虚拟机说明。

用户配置-管理模板-系统-登陆-在用户运行时运行这些程序,然后启用,然后添加木马的路径。



通过这种方式添加的启动,在上面倒数第三幅图所示的地方是看不到的。