Trang chủ > Computer-Internet > Hacker nhét Virus vào chương trình khởi động trên Windows như thế nào

Hacker nhét Virus vào chương trình khởi động trên Windows như thế nào


Hacker nhét Virus vào chương trình khởi động trên Windows như thế nào  

 

Giả mạo địa chỉ IP

 

Platform:

Windows

Compose:

NIS

File type:

.Pdf

File size:

 

ate:

2008

Category:

System

Downloads:

1569

 

Hiểu
một cách đầy đủ về nguyên tắc khởi động của Windows và cách Windows làm
việc với chương trình, bạn sẽ dễ dàng có cái nhìn tổng quát về việc
Virus máy tính sẽ tác động vào đâu để có thể nằm vùng và tung hoành
trên hệ thống

 

 

1. START-UP FOLDER. Dường như folder này quá quen thuộc với bạn. Windows sẽ tiến hành mở mỗi chương trình được đưa vào folder này.

 

Các
chương trình được đưa vào folder này sẽ được khởi động, và ngay cả các
shortcut của chương trình nếu nằm trong start-up cũng sẽ run.

 

 


dụ, Nếu đưa một tài liệu Microsoft Word vào Start Up folder, Word sẽ tự
động chạy và mở tài liệu này khi Windows khởi động. Điều tương tự xảy
ra, nếu bạn đặt vào đó một file âm thanh như WAV, phần mềm Audio sẽ
phát âm thanh này vào Windows, hoặc đặt vào đó các trang web yêu thích
(favouties), Internet Explorer (hoặc các trình duyệt khác) sẽ mở trang
web đó cho bạn. Và thay vì đưa file .exe hay file gốc của chương trình
vào, bạn chỉ cần đưa vào các shortcut của nó.

 

 

2. REGISTRY. Windows
sẽ thực thi tất cả các chỉ thị nằm trong phân mục "Run" của Registry.
Các mục trong Run (hoặc các khu vực khác của Registry ) có thể là một
chương trình, một file, hay document…như đã giải thích ở phần start-up
folder.

 

3. REGISTRY. Windows sẽ thực thi tất cả các chỉ thị nằm trong phân mục "RunServices" của Registry.

 

 

4. REGISTRY. Windows sẽ thực thi tất cả các chỉ thị tại  "RunOnce" của Registry.

 

 

 

5. REGISTRY. Windows
sẽ thực thi tất cả các chỉ thị nằm trong phân mục "RunServicesOnce" của
Registry. (Windows thường dùng 2 phân mục "RunOnce" để chạy các chương
trình trong một thời điểm duy nhất, thường là khi khởi động lại máy sau
khi tiến hành cài đặt chương trình)

 

6. REGISTRY. Windows
sẽ thực thi tất cả các chỉ thị nằm trong phân mục
HKEY_CLASSES_ROOT\exefile\shell\open\command "%1" %* scủa Registry. Bất
cứ command nào được đưa vào đây, sẽ được thi hành.

 

Các phân mục Registry khác cũng hoạt động tương tự là:

 

[HKEY_CLASSES_ROOT\exefile\shell\open\command] ="\"%1\" %*"

 

[HKEY_CLASSES_ROOT\comfile\shell\open\command] ="\"%1\" %*"

 

[HKEY_CLASSES_ROOT\batfile\shell\open\command] ="\"%1\" %*"

 

[HKEY_CLASSES_ROOT\htafile\Shell\Open\Command] ="\"%1\" %*"

 

[HKEY_CLASSES_ROOT\piffile\shell\open\command] ="\"%1\" %*"

 

[HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\shell\open\command] ="\"%1\"

%*"

[HKEY_LOCAL_MACHINE\Software\CLASSES\comfile\shell\open\command] ="\"%1\"

%*"

[HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command] ="\"%1\"

%*"

[HKEY_LOCAL_MACHINE\Software\CLASSES\htafile\Shell\Open\Command] ="\"%1\"

%*"

[HKEY_LOCAL_MACHINE\Software\CLASSES\piffile\shell\open\command] ="\"%1\"

%*"

 

Nếu các Khoá không có gía trị  "\"%1\" %*" như mô tả ở trên, có thể được thay đổi dưới một dạng khác, chẳn hạn như: "\"somefilename.exe %1\" %*" chứ không phải ghi rõ dưới dạng một file.exe cụ thể, ví dụ như word.exe

 

 

 

7. BATCH FILE. Windows
thực thi tất cả các chỉ thị của file batch, được đặt trong folder
Windows (trên máy bạn là folder Windows hoặc WINNT). Không phải tất cả
người dùng Windows và ngay cả chuyên gia máy tính đều biết file batch
được Windows sử dụng có tên là WINSTART.BAT, nó thường được malware lợi
dụng để đánh lừa Windows gây nguy hại cho hệ thống, đặc biệt là trên
các OS cũ như Windows ME, 98 về trước.

 

 

 

8. INITIALIZATION FILE. Windows sẽ thực thi các chỉ thị tại dòng "RUN=" trong file WIN.INI, được đặt trong folder Windows hay WINNT.

 

 

9. INITIALIZATION FILE. Windows sẽ thực thi các chỉ thị tại dòng "LOAD=" trong file WIN.INI được đặt trong folder Windows hay WINNT.

 

Nó cũng thực thi các chỉ thị được ghi trong shell= in System.ini hay c:\windows\system.ini:

 

[boot]

shell=explorer.exe C:\windows\filename

 

file explorer.exe sẽ khởi động bất cứ khi nào Windows start.

 

Với Win.ini, mỗi dòng trong file là một chỉ thị để windows tiến hành thực thi.

 

 

10. RELAUNCHING. Windows
sẽ thực thi lại các chương trình, khi nó đột ngột shutdown, Ví dụ khi
bạn đang open một trang web, và windows shutdown, lần khởi động kế tiếp
Windows sẽ kích hoạt lại IE để mở đúng website trước đó. Nếu Windows
của bạn không làm việc này, bạn có thể cài đặt tool miễn phí hỗ trợ
Windows là Tweak UI, sau đó kích hoạt tính năng "Remember Explorer
settings," .

 

11. TASK SCHEDULER. Windows
sẽ thực thi các chỉ thị trong Windows Task Scheduler (hoặc bất cứ
chương trình hãng thứ 3 nào, tương tự Task Scheduler).

 

12. SECONDARY INSTRUCTIONS. Sau
khi Windows kích hoạt các chương trình “mẹ”, các chương trình con có
thể chạy theo chỉ thị riêng của chương trình mẹ đã thiết kế.

 

13. DÙNG EXPLORER.EXE.

 

Windows sẽ tải  explorer.exe
(nằm trong folder Windows hoặc WINNT) trong suốt quá trình khởi động.
Nếu explorer.exe gặp sự cố , user có thể bị Khoá không log-in được vào
hệ thống, sau khi họ tiến hành khởi động máy

 

 

 

Nếu
explorer.exe là mộ trojan núp bóng, trojan sẽ được kích hoạt khi khởi
động,không như các phương thức tự khởi động khác có key trong registry
điều khiển, explorer.exe chỉ đơn giản được hệ thống kích hoạt và chạy.

 

14. Các phương thức khác

 

Trong
danh sách dưới đây, 2 cách đầu tiên đã được trojan nổi tiếng SubSeven
sử dụng để kích hoạt và nằm vùng trong hệ thống của bạn

 

Trojan Subseven

 

HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\explorer\Usershell folders

 

 

SubSeven sau khi lây vào máy nạn nhân

 

 

Icq Inet

 

Các khoá kích hoạt trong Registry của chương trình ICQ

 

[HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agent\Apps\test]

"Path"="test.exe"

"Startup"="c:\\test"

"Parameters"=""

"Enable"="Yes"

 

[HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agent\Apps\]

Khoá này xác nhận, tất cả các ứng dụng s4 được thực thi nếu ICQNET phát hiện kết nối Internet.

 

[HKEY_LOCAL_MACHINE\Software\CLASSES\ShellScrap] ="Scrap object"

"NeverShowExt"=""

 

Khoá này thay đổi phần mở rộng file của bạn. 

 

Như
vậy bài viết đã trình bày nhiều cách thức Windows kích hoạt các chương
trình, khi Windows khởi động. Việc hiểu rõ toàn bộ các quy trình này, từ  đơn
giản như Start-up folder, Task Schedule, hay Win.ini, Winni.ini, Batch
file cho đến các khoá và phân muc phức tạp được tạo trong Registry..

 

Những
kẻ viết Malware phá hoại luôn hiểu rõ việc này, đã bằng nhiều cách thức
khác nhau, cấy vào hệ thống những lệnh thực thi để giấu malware, kích
hoạt chúng và phá hoại hệ thống..

Chuyên mục:Computer-Internet
  1. Chưa có phản hồi.
  1. No trackbacks yet.

Gửi phản hồi

Please log in using one of these methods to post your comment:

WordPress.com Logo

Bạn đang bình luận bằng tài khoản WordPress.com Log Out / Thay đổi )

Twitter picture

Bạn đang bình luận bằng tài khoản Twitter Log Out / Thay đổi )

Facebook photo

Bạn đang bình luận bằng tài khoản Facebook Log Out / Thay đổi )

Google+ photo

Bạn đang bình luận bằng tài khoản Google+ Log Out / Thay đổi )

Connecting to %s

%d bloggers like this: