计算机安全之认清木马的原理(3)

服务端用户运行木马或捆绑木马的程序后，木马就会自动进行安装。首先将自身拷贝到WINDOWS的系统文件夹中C:\WINDOWS或C:\WINDOWS\SYSTEM目录下。然后在注册表、启动组、非启动组中设置好木马的触发条件，这样木马的安装就完成了。安装后就可以启动木马了。

由触发条件激活木马

触发条件是指启动木马的条件，大致出现在下面八个地方：

注册表

打开HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\下的五个以Run和Run Services主键，在其中寻找可能是启动木马的键值。

WIN.INI

C:\WINDOWS目录下有一个配置文件win.ini，用文本方式打开，在windows字段中有启动命令load=和run=，在一般情况下是空白的，如果有启动程序，可能是木马。

SYSTEM.INI

C:\WINDOWS目录下有个配置文件system.ini，用文本方式打开，在386Enh、mic、drivers32中有命令行，在其中寻找木马的启动命令。

Autoexec.bat和Config.sys

在C盘根目录下的这两个文件也可以启动木马。但这种加载方式一般都需要控制端用户与服务端建立连接后，将已添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行。

*.INI

即应用程序的启动配置文件，控制端利用这些文件能启动程序的特点，将制作好的带有木马启动命令的同名文件上传到服务端覆盖这同名文件，这样就可以达到启动木马的目的了。

注册表

打开HKEY_CLASSES_ROOT\文件类型\shell\open\command主键，查看其键值。举个例子，国产木马“冰河”就是修改HKEY_CLASSES_ROOT\txtfile\shell\open\command下的键值，将“C:\WINDOWS\NOTEPAD.EXE％1”改为“C:\WINDOWS\SYSTEM\SYSEXPLR.EXE％1”，这时你双击一个TXT文件后，原本应用NOTEPAD打开文件的，现在却变成启动木马程序了。还要说明的是不光是TXT文件，通过修改HTML、EXE、ZIP等文件的启动命令的键值都可以启动木马，不同之处只在于“文件类型”这个主键的差别，TXT是txtfile，ZIP是WINZIP，大家可以试着去找一下。

捆绑文件

实现这种触发条件首先要控制端和服务端通过木马建立连接，然后控制端用户用工具软件将木马文件和某一应用程序捆绑在一起，然后上传到服务端覆盖原文件，这样即使木马被删除了，只要运行捆绑了木马的应用程序，木马又会被安装上去了。

启动菜单

在“开始—程序—启动”选项下也可能有木马的触发条件。

木马的原理就为大家介绍完了，希望大家爱通过以上的内容能够清楚的认识了木马，同时我们还应该多多学习防范木马的知识，以防止遭到攻击。

服务器租用/服务器托管中国五强！虚拟主机域名注册顶级提供商！15年品质保障！--亿恩科技[ENKJ.COM]