顽固木马的伎俩—注册成系统服务启动

个人电脑用户很多时候会遇到这样一种情况，就是已经查找到木马，但怎么也无法删除，弹出对话框报告说文件正在使用中，这时，极有可能是中了注册成服务启动的顽固木马，这是为了加固木马在系统中的存活率，编写木马者采用一种更加隐蔽的伎俩。
 
现在很多的木马、后门、蠕虫病毒都是通过修改注册表中的RUN键值来实现自启动。但是这种自启动模式不是很隐蔽的，稍微懂点安全的人，一般发现电脑被黑，都会查看RUN键值的。于是系统服务便成为了一种相对隐蔽的自启动模式。比如冲击波杀手就采用系统服务来自启动病毒程序。现在添加系统服务的工具很多，最典型的就是netservice。这里介绍下注册成系统服务启动的原理。WINDOWS里的很多东西都是跟注册表息息相关的，系统服务也不例外。

系统服务相关键值：
 
系统服务跟以下的注册表几个项目相关：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services

木马完全可以找到在系统服务中已注册的服务的键值来实现注册成系统服务启动。
在以上任何注册表列中添加一个新项：
名字是你想要添加系统服务的名字，比如Backdoor。
在BACKDOOR项下新建一个字符串,数值名称Displayname 数值数据为要添加服务的
名称Backdoor。
 
看了下表，你可能会更清楚其运行的原理：
 
名称 类型 数据 备注
Displayname REG_SZ 想要添加服务的名称 想要添加服务的名称
Des cription REG_SZ 服务的描述 服务的描述
ImagePath REG EXPAND SZ 程序的路径

转截请注明:文章来自 pc捍卫者 http://www.pchwz.com 本站发布此文为传递更多信息之目的,不表明pc捍卫者赞同其观点