网站地图    收藏   

主页 > 后端 > 网站安全 >

“组策略”中的{远程控制软件} - Windows操作系统

来源:自学PHP网    时间:2015-04-17 18:33 作者: 阅读:

[导读] 来自:朋友的家通过“组策略”来加载{远程控制软件}非常隐蔽,不易为人所发现。具体方法是:点击“开始”菜单中的“运行”,输入“Gpedit.msc”并回车,这样就可以打开“组策略”...

来自:朋友的家

通过“组策略”来加载{远程控制软件}非常隐蔽,不易为人所发现。具体方法是:点击“开始”菜单中的“运行”,输入“Gpedit.msc”并回车,这样就可以打开“组策略”,在“本地计算机策略”中顺次点击“用户配置→管理模板→系统→登录”(图1),然后双击“在用户登录时运行这些程序”子项,出现如图所示对话框(图2),在这里进行属性设置,选定“设置”中的“已启用”,接下来单击“显示”按钮,会弹出“显示内容”窗口(图3),再单击“添加”按钮,出现“添加项目”窗口(图4),在其中的文本框中输入要自动运行的文件所在的路径,最后单击“确定”按钮,然后重新启动计算机就可以了,系统在登录时会自动启动我们添加的程序。注意:如果自启动的文件不是位于%Systemroot%目录中,则必须指定文件的完整路径。

 

如果我们刚才在“组策略”中添加的是{远程控制软件},就会诞生一个“隐形”的{远程控制软件}!这是因为在“系统配置实用程序”Msconfig中你是无法发现该{远程控制软件}的,在大家周知的注册表项如HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun项和HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun项你也无法找到相应的键值,所以这种加载{远程控制软件}的方式还是非常隐蔽的,对普通用户来说威胁也更大一些

 

难道这种加载{远程控制软件}的启动方式就那么无懈可击吗?当然不是!其实,通过这种方式添加的自启动程序依然被记录在注册表中,只不过不是在我们所熟悉的那些注册表项下,而是在在注册表的HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun项中。所以,如果你怀疑电脑中可能有{远程控制软件},却找不到它躲在哪儿,那就到上述注册表项目或者组策略选项中看看,也许你会有所发现!

 


暗藏杀机的注册表项

 

利用注册表项加载{远程控制软件}一直是{远程控制软件}的最爱,我们也很熟悉它们的这种手段了,不过有一种新的利用注册表来隐藏{远程控制软件}的方法您可能还不知道,具体方法是:点击“开始”菜单中的“运行”,输入Regedit回车,打开注册表编辑器。展开注册表到HKEY_CURRENT_USERSoftwareMicrosoftWin dowsNTCurrentVersionWindows项,新建一个字符串值,命名为“load”,把它的键值改为自启动程序的路径即可。注意:要使用文件的短文件名,即“C:Program Files”应该写为“C:Progra~1”,且自启动程序的后面不能带有任何参数。另外要提醒大家注意的是,如果改为在注册表的HKEY_USERS用户ID号SoftwareMicrosoftWindows NTCurrentVersionWindows项加载,则本方法对其他用户也有效,否则换个用户名登陆就不管用了。

 

建议大家以后检查{远程控制软件}及病毒程序时也要注意这里,免得被人有机可乘。另外,这个方法只对Windows 2000/XP/2003有效,使用Windows 9x的用户不用担心。

 

利用AutoRun.inf加载{远程控制软件}

 

经常使用光盘的朋友都知道,某些光盘放入光驱后会自动运行,这种功能的实现主要*两个文件,一个是系统文件之一的Cdvsd.vxd,一是光盘上的AutoRun.inf文件。Cdvsd.vxd会随时侦测光驱中是否有放入光盘的动作,如果有的话,便开始寻找光盘根目录下的AutoRun.inf文件。如果存在AutoRun.inf文件则执行它里面的预设程序。

 

这个貌似神奇的功能其实很简单,不仅能应用于光盘中,同样也可以应用于硬盘中(要注意的是AutoRun.inf必须存放在磁盘根目录下才能起作用)。让我们一起看看AutoRun.inf文件的内容吧。打开记事本,新建一个文件,将其命名为AutoRun.inf,在AutoRun.inf中键入以下内容:

 

[AutoRun]

 

Icon=C:WindowsSystemShell32.DLL,21

 

Open=C:Program FilesACDSeeACDSee.exe

 

解释一下:一个标准的AutoRun文件必须以[AutoRun]开头,第二行Icon=C:WindowsSystemShell32.DLL,21用来给硬盘或光盘设定一个图标。Shell32.DLL是Windows系统文件,里面包含了很多Windows的系统图标。数字21表示显示编号为21的图标;第三行Open=C:Program FilesACDSeeACDSee.exe指出要运行程序的路径及其文件名。

 

如果把Open行换为{远程控制软件}文件,并将这个AutoRun.inf文件设置为隐藏属性(不易被发现),则点击硬盘就会启动{远程控制软件}!反过来讲,这倒的确是一种很不错的程序自启动方式。

 

为防止遭到这样的“埋伏”,可以禁止硬盘AutoRun功能。打开注册表编辑器,展开到HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExploer主键下,在右侧窗口中找到“NoDriveTypeAutoRun”,就是它决定了是否执行CDROM或硬盘的AutoRun功能。将其键值改为9D,00,00,00就可关闭硬盘的AutoRun功能,把它的键值改为B5,00,00,00则可禁止光盘的AutoRun功能。注意改后要重新启动计算机才能生效。

 

屏幕保护也可能成为{远程控制软件}的帮凶 

 

Windows的屏幕保护程序对应的是.scr文件,在默认情况下保存在Windows的安装目录下。如果把.scr更名为.exe文件,则该程序仍然可以正常启动。与此类似,.exe文件更名为.scr文件也照样可以运行!顺便提一下,把.exe文件改名为.com、.pif、.bat后,exe文件仍旧可以自由运行!这在exe文件关联丢失后非常有用,我们可以把exe文件的扩展名改为上述扩展名程序就可以运行了。

 

在屏幕保护程序中,我们可以设定它的等待时间,这个启动时间其实是可以在注册表中设定的: HKEY_USERS.DEFAULTControl Paneldesktop,其下的字符串值ScreenSaveTimeOut记录的就是屏保程序的等待时间,时间单位为秒,从60秒开始记录,如果记录时间小于60秒,则自动定为1分钟。是否选择了屏幕保护程序可以在system.ini文件中看出来。在“开始”菜单的“运行”中输入msconfig,找到System标签,找到里面的[boot]小节,你可以看到有“SCRNSAVE.EXE=”这一行。在它后面是屏保文件的路径。如果你设定了屏保程序,这一行前面就会有一个“√”,反之则没有“√”。

 

由上面的介绍可以产生一个联想:如果把.exe文件重命名为.scr文件(假设改为RAT.scr),并在SYSTEM.INI中添加“SCANSAVE.EXE=C:Program filesRAT.scr”,然后修改注册表中的HKEY_USERS.DEFAULTControl Paneldesktop下的字符串值ScreenSaveTimeOut,把其键值改为60,则系统只要闲置一分钟该文件就会被启动!由此可以看出,如果这种方法被{远程控制软件}或病毒等恶意程序所利用,后果非常可怕。防范这种攻击的方法就是禁止使用屏幕保护功能!

自学PHP网专注网站建设学习,PHP程序学习,平面设计学习,以及操作系统学习

京ICP备14009008号-1@版权所有www.zixuephp.com

网站声明:本站所有视频,教程都由网友上传,站长收集和分享给大家学习使用,如由牵扯版权问题请联系站长邮箱904561283@qq.com

添加评论