注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

★ ★ ★ 卡多 - K.D

DELPHI

 
 
 

日志

 
 

再谈木马自启动方法——破解病毒而得  

2011-01-13 18:46:04|  分类: ‖ 杂文 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |
关于windows自启动方法,前人已经讲了很多,但正是因为讲的人多了,方法也不叫方法了,成为一种童叟皆知的常识了,难道就没有一种可以更复杂!更隐蔽!!更强大!!!的自启动方法了?经过一个通宵的分析最新病毒,得到了2个最新的自启动方法,且看(如果大家都知道了这些方法,不要取笑我哦,HOHO):


一、系统组件DLL自启动
1、在注册表中建立:
HKEY_CLASSES_ROOTCLSID{081FE200-A103-11D7-A46D-C770E4459F2F}InprocServer32
(默认)="需要自启动的程序路径及名称"
"ThreadingModel"="Apartment"
2、在注册表中建立:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionexplorerShellExecuteHooks
{081FE200-A103-11D7-A46D-C770E4459F2F}=""
3、需要注意的地方是:
两个需要修改注册表的CLSID编号要一致,不一定要按照上面的一模一样,格式正确即可。
用这种启动方法只可以启动DLL文件,通过DLL文件可调用其他EXE文件,要确保DLL文件只可运行一个实例或运行后立刻终止本进程。


二、伪屏幕保护自启动
1、应确保系统原来已经设置了屏幕保护,否则此方法无效
2、将你所要自启动的EXE文件后缀名改为.SCR,并保存在C:WINDOWSSYSTEM目录下
3、修改System.ini文件中[boot]SCRNSAVE.EXE=C:WINDOWSSYSTEM你的程序名.SCR
4、最后通过注册表修改屏幕保护等待时间为1分钟即可,如此每隔1分钟闲置时间,系统将自动启动你的程序。


三、这条和自启动无关
1、EXE文件名后缀可以改为.BAT、.COM、.PIF、.SCR,仍旧可以正常运行,
这点经常被人忽略,用它来配合自启动作伪装木马,有时候会起到意想不到的作用,哈哈


我最喜欢第一种自启动方法,配合一个Delphi写的DLL文件,调用心爱的VB写的木马,哈哈,战无不胜,所向披靡了。
  评论这张
 
阅读(580)| 评论(1)
推荐 转载

历史上的今天

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017