91超碰碰碰碰久久久久久综合_超碰av人澡人澡人澡人澡人掠_国产黄大片在线观看画质优化_txt小说免费全本

溫馨提示×

美國服務器木馬病毒常見的入侵方式有哪些

小新
143
2021-11-30 11:47:40
欄目: 云計算

美國服務器木馬病毒常見的入侵方式有:1、在美國服務器系統中的win.ini文件中加載入侵;2、在美國服務器系統信息文件的System.ini文件中加載入侵;3、通過修改服務器注冊表設置啟動加載項來進行入侵;4、通過修改服務器文件打開關聯來達到入侵。

美國服務器木馬病毒常見的入侵方式有哪些

具體內容如下:

1、在win.ini文件中加載

一般在win.ini文件中的【windwos】段中有如下加載項:run=load=,一般此兩項為空。如果你發現美國服務器系統中的此兩項加載了任何可疑的程序時,可根據其提供的源文件路徑和功能進一步檢查。這兩項分別是用來當美國服務器系統啟動時自動運行和加載程序的,如果木馬程序加載到這兩個子項中之后,那么系統啟動后即可自動運行或加載了。

當然也有可能美國服務器系統之中確實需要加載某一程序,但要知道這更是木馬利用的好機會,它往往會在美國服務器現有加載的程序文件名之后再加一個它自己的文件名或者參數,這個文件名也往往用你常見的文件,如command.exe、sys.com等來偽裝。

2、在System.ini文件中加載

在美國服務器系統信息文件system.ini中也有一個啟動加載項,那就是在【BOOT】子項中的Shell項。在這里木馬最慣用的伎倆就是把本應是”Explorer”變成它自己的程序名,名稱偽裝成幾乎與原來的一樣,只需稍稍改”Explorer”的字母”I”改為數字”1”,或者把其中的”o”改為數字”0”,這些改變如果不仔細留意是很難被人發現的,這就是我們前面所講的欺騙性。

當然也有的木馬不是這樣做的,而是直接把”Explorer”改為別的什么名字,因為有很多美國服務器用戶是不知道這里就一定是”Explorer”,或者在”Explorer”加上點什么東東,加上的那些東東肯定就是木馬程序了。

3、修改注冊表

在注冊表中也可以設置一些啟動加載項目的,況且注冊表中更安全,因為會看注冊表的人更少。事實上,只要是”Run\Run-\RunOnce\RunOnceEx\RunServices\RunServices-\RunServicesOnce”等都是木馬程序加載的入口,如[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run或\RunOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run或Run-或RunOnce或RunOnceEx或RunServices或RunServices-或RunServicesOnce]。

只要按照其指定的源文件路徑一路查過去,并具體研究一下在系統中的作用就不難發現這些,不過同樣要注意木馬的欺騙性,同時還要仔細觀察一下在這些鍵值項中是否有類似netspy.exe、空格、.exe或其它可疑的文件名,如有則立即刪除。

4、修改文件打開關聯

木馬程序發展到了今天,為了更加隱蔽自己,所采用手段也是越來越隱蔽,它們開始采用修改文件打開關聯來達到加載的目的,當打開了一個已修改了打開關聯的文件時,木馬也就開始了它的運作,如冰河木馬就是利用文本文件【.txt】這個最常見,但又最不引人注目的文件格式關聯來加載,當有人打開文本文件時就自動加載了冰河木馬。

修改關聯的途經還是選擇了注冊表的修改,它主要選擇的是文件格式中的【打開】、【編輯】、【打印】項目,如果感染了冰河木馬病毒則在[HKEY_CLASSES_ROOT\txtfile\shell\open\command]中的鍵值不是”c:\windows\notepad.exe%1”,而是改為”syXXXplr.exe%1”。

0
阳信县| 屯昌县| 京山县| 中卫市| 任丘市| 凤庆县| 凭祥市| 新邵县| 浦江县| 西畴县| 阜城县| 平远县| 陕西省| 阿荣旗| 长子县| 长沙市| 湖南省| 江孜县| 施甸县| 新龙县| 衢州市| 公安县| 渑池县| 石狮市| 娄底市| 北票市| 乌拉特前旗| 辛集市| 大兴区| 略阳县| 梁平县| 丰城市| 台南市| 新宁县| 沙河市| 邓州市| 丽水市| 昌吉市| 双鸭山市| 黎平县| 庆安县|