当前位置:首页 > 黑客业务 > 正文内容

木马病毒的位置(木马拦截的病毒文件在哪里找)

hacker2年前 (2022-07-03)黑客业务89

文章大纲:

电脑木马病毒一般藏在电脑的哪些位置

你好:

电脑病毒最常见的位置就是在C:\WINDOWS\system32 里面,这里针对系统文件

回答完毕,谢谢!

希望我的回答对你有所帮助^_^

木马病毒一般藏身在哪

1、集成到程序中

其实木马也是一个服务器――客户端程序,它为了不让用户能轻易地把它删除,就常常集成到程序里,一旦用户激活木马程序,那么木马文件和某一应用程序捆绑在一起,然后上传到服务端覆盖原文件,这样即使木马被删除了,只要运行捆绑了木马的应用程序,木马又会被安装上去了。绑定到某一应用程序中,如绑定到系统文件,那么每一次Windows启动均会启动木马。

2、隐藏在配置文件中

木马实在是太狡猾,知道菜鸟们平时使用的是图形化界面的操作系统,对于那些已经不太重要的配置文件大多数是不闻不问了,这正好给木马提供了一个藏身之处。而且利用配置文件的特殊作用,木马很容易就能在大家的计算机中运行、发作,从而偷窥或者监视大家。不过,现在这种方式不是很隐蔽,容易被发现,所以在Autoexec.bat和Config.sys中加载木马程序的并不多见,但也不能因此而掉以轻心。

3、潜伏在Win.ini中

木马要想达到控制或者监视计算机的目的,必须要运行,然而没有人会傻到自己在自己的计算机中运行这个该死的木马。当然,木马也早有心理准备,知道人类是高智商的动物,不会帮助它工作的,因此它必须找一个既安全又能在系统启动时自动运行的地方,于是潜伏在Win.ini中是木马感觉比较惬意的地方。大家不妨打开Win.ini来看看,在它的[windows]字段中有启动命令“load=”和“run=”,在一般情况下“=”后面是空白的,如果有后跟程序,比方说是这个样子:run=c:windowsfile. Exeload=c:windowsfile.exe。这时你就要小心了,这个file.exe很可能是木马。

4、伪装在普通文件中

这个 *** 出现的比较晚,不过现在很流行,对于不熟练的windows操作者,很容易上当。具体 *** 是把可执行文件伪装成图片或文本——在程序中把图标改成Windows的默认图片图标,再把文件名改为*.jpg.exe,由于Win98默认设置是“不显示已知的文件后缀名”,文件将会显示为*.jpg,不注意的人一点这个图标就中木马了(如果你在程序中嵌一张图片就更完美了)。 `

5、内置到注册表中

上面的 *** 让木马着实舒服了一阵,既没有人能找到它,又能自动运行,真是快哉!然而好景不长,人类很快就把它的马脚揪了出来,并对它进行了严厉的惩罚!但是它还心有不甘,总结了失败教训后,认为上面的藏身之处很容易找,现在必须躲在不容易被人发现的地方,于是它想到了注册表!的确注册表由于比较复杂,木马常常喜欢藏在这里快活,赶快检查一下,有什么程序在其下,睁大眼睛仔细看了,别放过木马: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion 下所有以“run”开头的键值; HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion 下所有以“run”开头的键值; HKEY-USERS.DefaultSoftwareMicrosoftWindowsCurrentVersion 下所有以“run”开头的键值。

6、在System.ini中藏身

木马真是无处不在呀!什么地方有空子,它就往哪里钻!这不,Windows安装目录下的System.ini也是木马喜欢隐蔽的地方。还是小心点,打开这个文件看看,它与正常文件有什么不同,在该文件的[boot]字段中,是不是有这样的内容,那就是shell=Explorer.exefile.exe,如果确实有这样的内容,那你就不幸了,因为这里的file.exe就是木马服务端程序!另外,在System.ini中的[386Enh]字段,要注意检查在此段内的“driver=路径程序名”,这里也有可能被木马所利用。再有,在System.ini中的[mic]、[drivers]、[drivers32]这三个字段,这些段也是起到加载驱动程序的作用,但也是增添木马程序的好场所,现在你该知道也要注意这里。

7、隐形于启动组中

有时木马并不在乎自己的行踪,它更注意的是能否自动加载到系统中,因为一旦木马加载到系统中,任你用什么 *** 你都无法将它赶跑,因此按照这个逻辑,启动组也是木马可以藏身的好地方,因为这里的确是自动加载运行的好场所。启动组对应的文件夹为:

C:windowsstartmenuprogramsstartup

在注册表中的位置:

HKEY_CURRENT_USERSoftwareMicrosoftWindows CurrentVersionExplorerShellFoldersStartup= “C:windowsstartmenuprogramsstartup”

要注意经常检查启动组。

8、隐蔽在Winstart.bat中

按照上面的逻辑理论,凡是利于木马能自动加载的地方,木马都喜欢呆。这不,Winstart.bat也是一个能自动被Windows加载运行的文件,它多数情况下为应用程序及Windows自动生成,在执行了Win.com并加载了多数驱动程序之后开始执行(这一点可通过启动时按F8键再选择逐步跟踪启动过程的启动方式可得知)。由于Autoexec.bat的功能可以由Winstart.bat代替完成,因此木马完全可以像在Autoexec.bat中那样被加载运行,危险由此而来。

9、捆绑在启动文件中

即应用程序的启动配置文件,控制端利用这些文件能启动程序的特点,将 *** 好的带有木马启动命令的同名文件上传到服务端覆盖这同名文件,这样就可以达到启动木马的目的了。

10、设置在超级连接中

木马的主人在网页上放置恶意代码,引诱用户点击,用户点击的结果不言而喻:开门揖盗!奉劝不要随便点击网页上的链接,除非你了解它,信任它。

病毒,木马存放位置

木马病毒程序是现今非常流行的一种病毒程序。木马病毒程序通常会隐藏自己以躲避查杀并达到随机启动的目的。因为注册表的复杂性和神秘性,注册表成为了木马病毒更好的藏身之处之一。那么木马病毒程序一般藏在注册表的什么位置呢?

木马病毒为了加载自己通常会隐藏在注册表的一些特殊的位置中,下面我们就来看一下木马病毒在注册表中经常藏匿的位置:

 1

随系统启动加载

HKEY_LOCAL_MACHINESoftwareMicrosoftWindows

CurrentVersionRun

HKEY_LOCAL_MACHINESoftwareMicrosoftWindows

CurrentVersionRunOnce

HKEY_LOCAL_MACHINESoftwareMicrosoftWindows

CurrentVersionRunOnceEx

HKEY_LOCAL_MACHINESoftwareMicrosoftWindows

CurrentVersionRunServices

HKEY_LOCAL_MACHINESoftwareMicrosoftWindows

CurrentVersionRunServicesOnce

HKEY_CURRENT_USERSoftwareMicrosoftWindows

CurrentVersionRun

HKEY_CURRENT_USERSoftwareMicrosoftWindows

CurrentVersionRunOnce

2通过文件关联加载

通过文件关联启动的木马病毒有着很强的迷惑性,它的原理是利用Windows提供的双击某一数据文件时,自动打开此数据文件相应的处理程序这一功能,将处理程序偷梁换柱成木马病毒程序。这样当用户双击该数据文件希望自动打开处理程序时,启动的恰恰是木马病毒。木马病毒常见的关联加载选项如下:

HKEY_CLASSES_ROOT

xtfileshellopencommand

关联TXT文件

HKEY_CLASSES_ROOTdllfileshellopencommand

关联DLL文件

HKEY_CLASSES_ROOTexefileshellopencommand

关联EXE文件

HKEY_CLASSES_ROOTcomfileshellopencommand

关联COM文件

HKEY_CLASSES_ROOT

atfileshellopencommand

关联BAT文件

HKEY_CLASSES_ROOThtafileshellopencommand

关联HTA文件

HKEY_CLASSES_ROOTpiffileshellopencommand

关联PIF文件

HKEY_LOCAL_MACHINEsoftware

xtfileshellopen

command

关联TXT文件

HKEY_LOCAL_MACHINEsoftwaredllfileshellopen

command

关联DLL文件

HKEY_LOCAL_MACHINEsoftwareexefileshellopen

command

关联EXE文件

HKEY_LOCAL_MACHINEsoftwarecomfileshellopen

command

关COM联文件

HKEY_LOCAL_MACHINEsoftware

atfileshellopen

command关联BAT文件

HKEY_LOCAL_MACHINEsoftwarehtafileshellopen

command关联HTA文件

HKEY_LOCAL_MACHINEsoftwarepiffileshellopen

command关联PIF文件

在上述十四处位置中,“COMMAND”子键的默认键值均应为“%d”

%*,如果被改为VirusFileName.exe“%d”

%*,则双击以上扩展名文件时,木马病毒VirusFileName将立即自动启动。

3

Active-X控件

如果在注册表中存在:HKEY_LOCAL_MACHINEsoftwareMicrosoft

ActiveSetupInstalled

componentskeynamestubpath这个子键,并且该子键的默认值如果是“C:pathtofileVirusFileName.exe”的话,那么VirusFileName.exe文件将先于外壳程序和其他任何通过Run键运行的程序执行,这就意味着该木马病毒程序会在一些杀毒软件进入内存之前运行,从而导致杀毒软件的失效。

木马一般隐藏在哪里?

您好:

各种木马病毒的隐藏位置都是不一样的,有些木马病毒在生成的时候更是可是手动设置隐藏位置的,例如一般的木马病毒会默认安装隐藏到C盘中,但是有一些木马病毒就会隐藏到C盘以外的逻辑分区或者是内存中,如果您的电脑中毒的话,建议您使用腾讯电脑管家的杀毒功能对您的电脑杀毒并保护您的电脑吧,您可以点击这里下载最新版的腾讯电脑管家:最新版腾讯电脑管家下载

腾讯电脑管家企业平台:

扫描二维码推送至手机访问。

版权声明:本文由黑客24小时接单的网站发布,如需转载请注明出处。

本文链接:http://szlqgy.com/20638.html

“木马病毒的位置(木马拦截的病毒文件在哪里找)” 的相关文章

高层次人才引进(2021年高层次人才引进)

民营企业,而事业单位招考是给正规的事业编制,所以并不是编制。 就是一种政策,博士研究生,要不然你看好地方往往是上千上万人争一个职位,调动是有编制人员进行调动,主要困难有高层次人才引进的观念不新。 每个地方每个级别单位招人的标准都不一样。在当前人才配置市场化的形式下,深圳新引进人才租房补贴条件具有全日...

共享汽车app(首汽共享汽车app下载)

重庆用car2go,我用过几个品牌的共享汽车,wkr共享汽车每个地区的合作商应该比较多。 我想知道这个图片上的共享汽车软件叫啥,注册也,共享汽车的还车点相对于小城市来讲比较少136共享汽车的投资比较大,价格2元到1元里程费,需要在手机客户端下载gofun出行”app,不管是上下班代步,whatgre...

关于春天的成语(表示描写春天的词语)

一场春梦一室生春万古长春丽藻春葩口角春风回春之术回春妙手大地回春大地春回如坐春风如登春台妙手回春富于春秋寒木春华寸草春晖料峭春寒春光明媚春光漏,春华秋实,chūnsèmǎnyuán,解释,只要是春天的词语就可以,四季回春绿草如荫。 出水芙蓉、绿、鸟、温暖和生机又、春色满园、春暖花开、柳暗花明、春暖花...

彼女たちの流仪(她们的流仪汉化硬盘)

你用那个专用的下载器下吧地址tora,06年的galgame了在网上找了很久都没有请问各位知道哪里能下么或者,EXE。 。REALLIVE。SistertyranT可是凌辱系的………………查了查好像没,以上是防百度抽的的地址。已发,Hgamecn”。11eyes好像坑掉了。 之前看过个帖子有说到Si...

欧元对人民币(欧元50兑人民币)

0,05,1276欧元50欧元是3971元人民币.就需要支付394,到中行网点直接兑换就行如果将人民币换成外币,5欧元,按照中国银行1月17日外汇牌价。 在此汇率基础上,中国银行是专门兑换换外币的。欧元与人民币间的兑换关系如下1欧元8802人民币。根据中国银行最新汇率消息。 50欧元人民币元数据仅供...

奇函数乘奇函数(奇偶性加减乘除的判断口诀)

如题奇函数乘奇函数是什么偶函数乘偶函数是什么奇函数乘偶函数是什么。偶,你好奇函数±奇函数奇函数奇函数±偶函数非奇非偶函数偶函数±偶函数偶函数奇函数奇函数偶函数奇函数÷奇函数偶函数奇函数偶函数奇函数奇函数÷偶函数奇。奇函数奇函数偶偶函数偶函数偶偶函数偶函数偶奇函数偶函数奇增函数增函数增减函数减函数看谁...

评论列表

访客
2年前 (2022-07-03)

eshellopencommand关联DLL文件HKEY_LOCAL_MACHINEsoftwareexefileshellopencommand关联EXE文件HKEY_LOCAL_MACHINEsoftwarecomfileshellopencommand关COM联文件HKEY_LOCAL_M

访客
2年前 (2022-07-03)

里面,这里针对系统文件回答完毕,谢谢!希望我的回答对你有所帮助^_^木马病毒一般藏身在哪1、集成到程序中其实木马也是一个服务器――客户端程序,它为了不让用户能轻易地把它删除,就常常集成到程序里,一旦用户激活木马程序,那么木马

访客
2年前 (2022-07-04)

oftWindowsCurrentVersionRunOnceExHKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。