電腦木馬病毒如何運(yùn)行

　　木馬病毒是隨計(jì)算機(jī)或Windo。的啟動(dòng)而啟動(dòng)并掌握一定的控制權(quán)的，有很多種啟動(dòng)方式，通過(guò)注冊(cè)表啟動(dòng)、通過(guò)System. ini啟動(dòng)、通過(guò)某些特定程序啟動(dòng)等，眼花繚亂，很難防范。下面是學(xué)習(xí)啦小編收集整理的電腦木馬病毒如何運(yùn)行，希望對(duì)大家有幫助~~

　　電腦木馬病毒運(yùn)行

　　工具/原料

　　通過(guò)注冊(cè)表啟動(dòng)、通過(guò)System. ini啟動(dòng)

　　步驟/方法

　　1通過(guò)開(kāi)始程序啟動(dòng):這種方式最常見(jiàn)，就像一般的軟件設(shè)置開(kāi)機(jī)啟動(dòng)是一樣的，比方說(shuō)，騰訊QQ就是用這種方式實(shí)現(xiàn)自啟動(dòng)的。不過(guò)如今的木馬一般不會(huì)用這種方式了，因?yàn)槌霈F(xiàn)在“開(kāi)始”菜單的“啟動(dòng)”中很容易被發(fā)現(xiàn)行蹤而被處理掉。

　　2通過(guò)注冊(cè)表啟動(dòng)

　　通過(guò)注冊(cè)表啟動(dòng)分為三種，各種的具體設(shè)置如下所示:

　　.通過(guò)HKEY _ CURRENT _ USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Hun ,

　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run和HKEY_

　　LOCAL-MACHINE \Software \ Microsoft \ W indows \CurrentVersion \ RunServiceso

　　常用木馬:BO2000, GOP, NetSpy, lEthief，冰河等。

　　通常木馬會(huì)用這種方式，設(shè)置簡(jiǎn)單，不過(guò)也是會(huì)被發(fā)現(xiàn)的。正式因?yàn)槭褂玫奶?，所以一說(shuō)到木馬，就會(huì)聯(lián)想到注冊(cè)表中的主鍵，通常木馬會(huì)使用最后一個(gè)，使用Windows自帶的程序msconfig或注冊(cè)表編輯器(regedit. exe)都可以將其輕而易舉地刪除，可見(jiàn)這也不是一種可靠的方法。但是，現(xiàn)在也有了改進(jìn)，我們可以在木馬程序中加一個(gè)時(shí)問(wèn)控件，實(shí)時(shí)監(jiān)視注冊(cè)表中自身的啟動(dòng)鍵值是否存在，一旦發(fā)現(xiàn)被刪除，則立即重新寫(xiě)人，來(lái)保證下次Windows啟動(dòng)時(shí)能被運(yùn)行，這樣木馬程序和注冊(cè)表中的啟動(dòng)鍵值之間就形成了一種互相保護(hù)的狀態(tài)。木馬程序未中止，啟動(dòng)鍵值就無(wú)法刪除(手工刪除后木馬程序又自動(dòng)添加上了)，相反的，不刪除啟動(dòng)鍵值，下次啟動(dòng)Windows還會(huì)啟動(dòng)木馬。破解方法:首先，以安全模式啟動(dòng) Windows，此時(shí)Windows不會(huì)加載注冊(cè)表中的項(xiàng)Ei ,因此木馬不會(huì)被啟動(dòng)，相互保護(hù)的狀況也就不攻自破了。然后，就可以刪除注冊(cè)表中的鍵值和相應(yīng)的木馬程序了。通過(guò)HKEY_LOCAL_MACHINE \Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce,HKEY_ CURRENT_ USER\Software\Microsoft\Windows \CurrentVersion \ RunOnce和HKEY_ LO-CAL_MACHINE\Software\ Microsoft \Windows \CurrentVersion \ RunServices Once,,

　　常用木馬:Happy99,,

　　這是一種很少使用的方法，可是隱蔽性很強(qiáng)，并且也不會(huì)在msconfig _r留下蹤跡。在這個(gè)鍵值下的項(xiàng)目和上一種相似，會(huì)在Windows啟動(dòng)時(shí)啟動(dòng)，但Windows啟動(dòng)后，該鍵值下的項(xiàng)目會(huì)被清空，因而不易被發(fā)現(xiàn)，但是只能啟動(dòng)一次。還有一種方法，不是在啟動(dòng)的時(shí)候加而是在退出Windows的時(shí)候，這要求木馬程序本身要截獲Windows的消息，當(dāng)發(fā)現(xiàn)關(guān)閉Windows消息時(shí)，暫停關(guān)閉過(guò)程，添加注冊(cè)表項(xiàng)目，然后才開(kāi)始關(guān)閉Windows，這樣用Regedit也找不到它的蹤跡了。這種方式也有一個(gè)不完美的地方，就是一旦Windows異常中止(對(duì)于Windows9x這是經(jīng)常的)，木馬也就失效了。

　　上面的三種方式各自有各自的特點(diǎn)，通常木馬會(huì)選擇第一個(gè)鍵值，因?yàn)樵诘诙€(gè)鍵值下的項(xiàng)目會(huì)在Windows啟動(dòng)完成前運(yùn)行，并等待程序結(jié)束才會(huì)繼續(xù)啟動(dòng)Windows

　　3通過(guò)autoexec. bat,winstart. bat或confg.sys文件:其實(shí)這種方法并不適合木馬使用，因?yàn)樵撐募?huì)在Windows啟動(dòng)前運(yùn)行，這時(shí)系統(tǒng)處于DOS環(huán)境，只能運(yùn)行16位應(yīng)用程序，Window，下的32位程序是不能運(yùn)行的。木馬此時(shí)也就失效了，可是仍然要防范，因?yàn)槟抉R的偽裝就是要做到讓你無(wú)從下手

　　4通過(guò)System. ini文件:事實(shí)上，System. ini文件并沒(méi)有給用戶可用的啟動(dòng)項(xiàng)目，然而通過(guò)它啟動(dòng)卻是非常好用的。在System. ini文件的“Boot”域中的Shell項(xiàng)的值正常情況下是" explorer. exe"，這是Windows的外殼程序，換一個(gè)程序就可以徹底改變Windows的面貌(如改為progman. exe就可以讓W(xué)indows 9x變成Windows 3. x)。還可以在“explorer. exe”后加上木馬程序的路徑，這樣Windows啟動(dòng)后木馬也就隨之啟動(dòng)，而且即使是安全模式啟動(dòng)也不會(huì)跳過(guò)這一項(xiàng)，這樣木馬也就可以保證永遠(yuǎn)隨Windows啟動(dòng)了

　　5寄生于特定程序之中

　　即木馬和正常程序捆綁，有點(diǎn)類(lèi)似于病毒，程序在運(yùn)行時(shí)，木馬程序先獲得控制權(quán)或另開(kāi)一個(gè)線程以監(jiān)視用戶操作、截取密碼等，這類(lèi)木馬編寫(xiě)的難度較大，需要了解PE文件結(jié)構(gòu)和Windows的底層知識(shí)

　　6將特定的程序改名

　　QQ是這類(lèi)木馬最多的寄主，比方說(shuō)，將QQ的啟動(dòng)文件QQ2000b. exe改為QQ2000b.ico. exe，再將木馬程序改為QQ2000b. exe。這樣以后，一旦用戶運(yùn)行“QT , QQ木馬也就運(yùn)行了，然后才由QQ木馬去啟動(dòng)真正的QQ

　　7文件關(guān)聯(lián):一般情況下木馬程序會(huì)將自己和TXT文件或EXE文件關(guān)聯(lián)，這樣當(dāng)打開(kāi)

　　一個(gè)文本文件或運(yùn)行一個(gè)程序時(shí)，木馬也就偷偷地啟動(dòng)了

電腦木馬病毒如何運(yùn)行相關(guān)文章：

1.木馬是怎么樣啟動(dòng)的

2.電腦中了木馬后應(yīng)該怎么做以及解決方法

3.計(jì)算機(jī)木馬病毒危害介紹及解決方法是什么

4.如何打開(kāi)不太安全的網(wǎng)址讓電腦不中毒

5.電腦中了病毒木馬該怎么辦

6.電腦受到木馬病毒威脅如何解決

7.木馬病毒的六種啟動(dòng)方式