亚洲激情专区-91九色丨porny丨老师-久久久久久久女国产乱让韩-国产精品午夜小视频观看

溫馨提示×

美國服務器木馬病毒常見的入侵方式有哪些

小新
143
2021-11-30 11:47:40
欄目: 云計算

美國服務器木馬病毒常見的入侵方式有:1、在美國服務器系統中的win.ini文件中加載入侵;2、在美國服務器系統信息文件的System.ini文件中加載入侵;3、通過修改服務器注冊表設置啟動加載項來進行入侵;4、通過修改服務器文件打開關聯來達到入侵。

美國服務器木馬病毒常見的入侵方式有哪些

具體內容如下:

1、在win.ini文件中加載

一般在win.ini文件中的【windwos】段中有如下加載項:run=load=,一般此兩項為空。如果你發現美國服務器系統中的此兩項加載了任何可疑的程序時,可根據其提供的源文件路徑和功能進一步檢查。這兩項分別是用來當美國服務器系統啟動時自動運行和加載程序的,如果木馬程序加載到這兩個子項中之后,那么系統啟動后即可自動運行或加載了。

當然也有可能美國服務器系統之中確實需要加載某一程序,但要知道這更是木馬利用的好機會,它往往會在美國服務器現有加載的程序文件名之后再加一個它自己的文件名或者參數,這個文件名也往往用你常見的文件,如command.exe、sys.com等來偽裝。

2、在System.ini文件中加載

在美國服務器系統信息文件system.ini中也有一個啟動加載項,那就是在【BOOT】子項中的Shell項。在這里木馬最慣用的伎倆就是把本應是”Explorer”變成它自己的程序名,名稱偽裝成幾乎與原來的一樣,只需稍稍改”Explorer”的字母”I”改為數字”1”,或者把其中的”o”改為數字”0”,這些改變如果不仔細留意是很難被人發現的,這就是我們前面所講的欺騙性。

當然也有的木馬不是這樣做的,而是直接把”Explorer”改為別的什么名字,因為有很多美國服務器用戶是不知道這里就一定是”Explorer”,或者在”Explorer”加上點什么東東,加上的那些東東肯定就是木馬程序了。

3、修改注冊表

在注冊表中也可以設置一些啟動加載項目的,況且注冊表中更安全,因為會看注冊表的人更少。事實上,只要是”Run\Run-\RunOnce\RunOnceEx\RunServices\RunServices-\RunServicesOnce”等都是木馬程序加載的入口,如[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run或\RunOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run或Run-或RunOnce或RunOnceEx或RunServices或RunServices-或RunServicesOnce]。

只要按照其指定的源文件路徑一路查過去,并具體研究一下在系統中的作用就不難發現這些,不過同樣要注意木馬的欺騙性,同時還要仔細觀察一下在這些鍵值項中是否有類似netspy.exe、空格、.exe或其它可疑的文件名,如有則立即刪除。

4、修改文件打開關聯

木馬程序發展到了今天,為了更加隱蔽自己,所采用手段也是越來越隱蔽,它們開始采用修改文件打開關聯來達到加載的目的,當打開了一個已修改了打開關聯的文件時,木馬也就開始了它的運作,如冰河木馬就是利用文本文件【.txt】這個最常見,但又最不引人注目的文件格式關聯來加載,當有人打開文本文件時就自動加載了冰河木馬。

修改關聯的途經還是選擇了注冊表的修改,它主要選擇的是文件格式中的【打開】、【編輯】、【打印】項目,如果感染了冰河木馬病毒則在[HKEY_CLASSES_ROOT\txtfile\shell\open\command]中的鍵值不是”c:\windows\notepad.exe%1”,而是改為”syXXXplr.exe%1”。

0
虹口区| 灵川县| 台东县| 辉县市| 五常市| 乌拉特后旗| 镇远县| 开远市| 三门县| 葵青区| 綦江县| 乌拉特后旗| 华坪县| 德化县| 合江县| 故城县| 上饶县| 榆中县| 内黄县| 沙坪坝区| 石嘴山市| 肇州县| 原阳县| 辉县市| 兰考县| 墨竹工卡县| 无锡市| 监利县| 大名县| 湟中县| 岚皋县| 台中市| 长宁区| 定安县| 台东县| 常熟市| 紫阳县| 湖州市| 乌恰县| 宁远县| 榆林市|