3、触发式启动的程序




什么叫做触发式启动的程序呢?触发式启动程序是指需要用户进行某一操作来触发而启动的程序。




A、最常见的就是文件关联式的触发启动。




比如说修改exe文件关联的木马,每当你运行exe文件时都将触发木马程序的执行,同样的,如果修改了gif文件关联,那么每当你打开gif文件时,就会触发木马程序的执行。




下面我们就详细讲解一下修改文件关联的木马,我们以gif文件为例,先看下图03-28






如果在“注册基础知识”一章中看仔细了,那么应该知道HKEY_CLASSES_ROOT键下存储的正是文件关联信息。看上图,各子键大都是以“.”开始的后面跟三个字母,想一想跟什么比较为像?呵,当然是文件的扩展名了。Explorer.exe Regedit.exe ……后面的扩展名说明了文件的类型,.exeWindows可执行文件。A.gifB.gif……后面的扩展名GIF说明了文件是GIF图片,那么我们如何查看哪一类型的文件是由哪个程序来打开的呢?




看上图中的.gif键,其“默认”值是“giffile”。然后,我们再在HKEY_CLASSES_ROOT键下找到“giffile”子键,如下图03-29






giffile下的shell"open"command 键的默认值,标明了当你双击gif文件时,系统所要做的动作,这里的数据是“rundll32.exe C:"WINDOWS"system32"shimgvw.dll,ImageView_Fullscreen %1”,也就是说当你打开GIF图片时,系统会执行上面的命令,解释如下:运行rundll32.exe来调用C:"WINDOWS"system32"shimgvw.dll这个动态库,而参数就是ImageView_Fullscreen,后面的%1在执行中会用你双击的图片名字替换掉。




       结果就是打开了图片浏览器来浏览这个图片,我们下面修改一下这个值,改成:"D:"Adobe"Photoshop CS"Photoshop.exe" "%1" 那么再次双击GIF图片文件时,执行的结果就是运行Photoshop.exe来编辑这个图片了,而不是再用图片浏览器浏览。(当然了,D:"Adobe"Photoshop CS"Photoshop.exe是我机器上Photoshop.exe安装的路径,你需要改成你机器上的路径,其实你也可以改成任何一个程序)




       如果木马修改了这个值呢?改成了“C"木马.exe %1那么,一旦你双击GIF图片文件想浏览一下图片时,系统就会很忠实的依照注册表中的这个值,启动“C"木马.exe”,从而将木马触发启动,而木马也会在自己启动后,再度调用原有的程序将图片打开,这样,对你来说,是没有任何感觉的,你只知道双击一个图片后,图片打开了,而不会知道发生在这中间的一切。




       当前常见的木马对文件关联的修改都是以execomtxt等常见类型居多,而大多数安全软件也都对这几个常见的关联项进行了检查,但是木马开发者不是傻瓜应该是毫无疑问的事实,明知道常见类型会被安全软件监管后,他们还会修改常见的类型吗?呵,系统中可供修改的文件关联简直太多了。Rar文件,是常见的压缩格式文件,从网上下载的文件有很多是以这种格式压缩的,修改了它,一旦你打开下载的压缩包时就将启动木马。BMPGIFJPEG等图片文件、AVIRM等电影文件,修改任何一个,都将有很大机会被触发,而修改多个呢?




       狙剑提供了对所有文件关联进行检查的功能,看下图03-30






打开狙剑,在基本功能中选择“注册项扫描”,就可以对所有的文件关联及COM注册项等进行扫描。




查找规则是列出所有非系统程序的文件关联,也就是说如果某一类型的文件并不是由系统程序打开的,那么就会被列出。虽然已经隐藏了上千个系统文件的文件关联,但剩下的仍然会有很多。不过,虽然不少,可是并不难判断,一个程序通常对应着很多种类型的文件,比如,一个暴风影音就对应叫几十种文件类型,很容易就可以判断出这是正常的关联。




当然了,这功能平时用的机会并不多,但是一旦一只马儿清掉后,过几天就又死灰复燃时,检查文件关联也许会有意外的收获。




下面呢,我们再说一说文件关联的设置,如果一个文件关联被木马修改了,我们如何改回正常的呢?通过上面的讲解,也许有基础的朋友已经可以通过修改注册表来实现文件关联的修改了。但是我们还有更简单的方法来进行文件关联的修改与设置,看下图03-31






当打开一个未注册的文件时,或我们在清掉了一个原有的文件关联后,如上图所示,系统会弹出提示一个窗口。




ABC.Test的扩展名是“.Test”这是我自己随便取的一个名字,系统当然不知道,对于不知道类型的文件,文件的图标通常就是上面图中的样子,一个标准的文件图标。




这个类型的文件网上也不会有,所以也不用偿试在网上找了,不过,如果一般的可以偿试在网上找一找。这里我们自己来选择相应的文件关联程序,所以,我们选了上图中下面的一个选项“从列表中选择程序”。这个选项的意思是,由我们自己来选择用哪一个程序来打开扩展名是“Test”的文件。




单击确定后,会出现下图所示的窗口,看图03-32






Windows列了当前系统中安装的所有程序来供我们选择,这里我们选中了记事本,然后勾选下面的“始终使用选择的程序打开这种文件”,然后,点确定,就完成了.Test这种文件的文件关联设置。如果列表中没有我们需要的程序,还可以点击“浏览”自己找需要的程序。




设置完成后,以后一旦我们双击扩展名为Test的文件,系统就会自动的调用记事本来打开这个文件。




说完文件关联的,我们再接着说下一种。

--------------------------------------------------------------------------------------
本文转自狙剑作者的blog----MuseHero.blog.tianya.cn

Identify the aspects of your application that vary and separate them from what stays the same.