议木马自启动应用.docxVIP

议木马自启动应用 　　摘要木马一种具有远程控制功能的程序。 　　文件关联是木马实现自启动的方法之一，这种方式的实现有三个关键技术。 　　在详细分析这三个关键技术后，用++编程实现木马的自启动从而深刻地揭示该方法的原理。 　　关键词文件关联；木马；自启动1木马启动的方式木马是一种能实现远程控制的黑客程序，具有窃取密码，屏幕控制，文件传输等危害[1]。 　　从广义上来讲，木马是一种病毒，但不具有自我复制的特点，因此，木马要使用各种方法让程序在计算机上运行而又不被用户发现。 　　木马首次被执行后可能被用户关闭或木马程序随着计算机的重启或关闭，因此木马还需要解决自启动的问题，以达到长期控制被害机器的目的。 　　木马常用的启动方法有以下几种11通过注册表操作系统的注册表提供了一个注册表项，它的具体路径是__\\\\\。 　　通过该表项可以实现程序的自启动，一些重要的程序也是通过该表项来实现自启动的，例如输入法程序，防火墙程序等。 　　而该表项也为木马的启动提供了可乘之机，一些木马就是利用该表项来实现自启动，例如冰河。 　　12通过服务的很多后台服务是通过系统服务程序来启动的，例如服务，服务等。 　　一些木马程序也会注册成后台服务从而随着计算机的启动而运行。 　　例如某些版本的灰鸽子就是使用这个方法。 　　一些论文[2]详细讨论了这种方法的实现。 　　13通过文件关联文件关联是指木马与某一种类型的文件或程序关联在一起，当打开文件或程序被运行时，木马也悄悄随着运行。 　　木马一般选择与常用的文件建立关联，否则即使建立了关联，木马也可能由于文件没有被打开而不能自启动。 　　冰河除了使用注册表的方法外，也使用了关联的方法，它通常关联文本文件，当然也可能关联其它类型的文件。 　　而广外女生则关联了文件和文件，因此，任何一个文件运行都启动了木马程序。 　　一些论文[5]讨论了另类的文件关联的方法。 　　2文件关联的关键技术用文件关联的方法实现木马自启动有三个关键技术，一是如何与文件或程序建立关联；二是调用正常的程序；三是如何获得用户需要打开的文件名或程序名。 　　本文以关联文本文件为例进行讨论，并在++下编程实现。 　　21建立文件关联一个文件可以用某个程序打开，也可以用另外一个程序打开，但有一个默认的打开程序。 　　默认的打开程序其实是由注册表来决定的。 　　在的注册表__表项中，包括很多类型的文件的相关信息，例如文件的图标，文件打开程序等。 　　如果想修改文件的默认打开程序，修改这个注册表项就可以了。 　　因此，当我们要与文本文件建立关联，通过程序修改注册表项__\中的\\键的键值为木马程序就可以了。 　　正常情况下，该键值的内容为1，其中1表示文件名。 　　22调用正常的程序通过修改注册表，木马能够随着用户双击文件而悄悄运行了，但如果默认的正常程序没有运行，便会引起用户的怀疑，所以木马还需要解决运行正常程序的问题。 　　对于文本文件，默认的打开程序是记事本程序，因此木马还需要调用记事本程序，也就是程序。 　　23获得文件名木马调用记事本程序的同时，还要获得用户所需要打开的文件名一般是用户双击的文件名，同时把文件名传递给记事本程序，这样用户所看到的就是文本文件被正常打开了。 　　3编程思路及实现在本文中，我们的木马程序命名为，我们的目标是程序首次执行时程序的首次执行可以通过欺骗用户或捆绑文件等方法来实现，把程序与文件建立关联，此后每当用户双击一个文件时，程序就悄悄地运行，同时文件能正常地显示在记事本程序中。 　　因为程序是悄悄运行，所以用户看到的仅仅是一个记事本程序把文件打开了。 　　程序首先实现文件关联，主要通过修改注册表实现；程序获得文件完整路径及正确文件名；调用程序，并把获得的文件名传递给程序。 　　当然，程序作为木马还应包括其它功能，但这些功能不在本文讨论之列。 　　31文件关联的实现与建立关联的方法是，修改注册表的__\\\\项，把它的键值修改为程序。 　　这需要用到注册表函数以及函数。 　　这部分关键程序代码如下写入注册表，建立关系;1;找到注册表项=\\\\\\;打开注册项1=__，，0，_，1;1==_{定义并获得木马程序名[100]={0};=，，_;[200]={0};，;，1;1表示文件本身添加一个子，并设置值1=1，，0，__，*，;关闭注册表1;32调用正常程序的实现在中调用主要用函数，详细的函数调用见获得文件名的实现部分的代码。 　　33获得文件名的实现由于已经建立关系，当用户双击一个文件时，则会启动，而文件名则需要用函数进行并且进行处理，这是函数所获得的文件名包括一些空字符以及程序路径以及程序名等。 　　*=*;获得文件名，如果没有双击文件名