WEB开发网
开发学院网络安全黑客技术 解析来自Autorun.inf文件的攻击 阅读

解析来自Autorun.inf文件的攻击

 2006-04-02 20:27:56 来源:WEB开发网   
核心提示: [AutoRun]Open=regedit/s Share.reg //加/s参数是为了导入时不会显示任何信息保存AutoRun.inf文件,将Share.reg和AutoRun.inf这两个文件都复制到对方的D盘的根目录下,解析来自Autorun.inf文件的攻击(4),这样对方只要双击

[AutoRun]
  Open=regedit/s Share.reg  //加/s参数是为了导入时不会显示任何信息

保存AutoRun.inf文件。将Share.reg和AutoRun.inf这两个文件都复制到对方的D盘的根目录下,这样对方只要双击D盘就会将Share.reg导入注册表,这样对方电脑重启后所有驱动器就会都完全共享出来。

如果想让对方中木马,只要在AutoRun.inf文件中,把“Open=Share.Reg”改成“Open=木马服务端文件名”,然后把AutoRun.inf和配置好的木马服务端一起复制到对方D盘的根目录下,这样不需对方运行木马服务端程序,而只需他双击D盘就会使木马运行!这样做的好处显而易见,那就是大大的增加了木马运行的主动性!须知许多人现在都是非常警惕的,不熟悉的文件他们轻易的不会运行,而这种方法就很难防范了。

要说明的是,给你下木马的人不会那么蠢的不给木马加以伪装,一般说来,他们会给木马服务端文件改个名字,或好听或和系统文件名很相像,然后给木马换个图标,使它看起来像TXT文件、ZIP文件或图片文件等,,最后修改木马的资源文件使其不被杀毒软件识别(具体的方法可以看本刊以前的文章),当服务端用户信以为真时,木马却悄悄侵入了系统。其实,换个角度理解就不难了——要是您给别人下木马我想你也会这样做的。以上手段再辅以如上内容的AutoRun.inf文件就天衣无缝了!

三、防范方法

共享分类完全是由flags标志决定的,它的键值决定了共享目录的类型。当flags=0x302时,重新启动系统,目录共享标志消失,表面上看没有共享,实际上该目录正处于完全共享状态。网上流行的共享蠕虫,就是利用了此特性。如果把"Flags"=dword:00000302改成"Flags"=dword:00000402,就可以看到硬盘被共享了,明白了吗?秘密就在这里!

上一页  1 2 3 4 5 6 7  下一页

Tags:解析 来自 Autorun

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接