Di động:

Đưa virus vào khởi động Windows như thế nào? Không rõ

15/01/2010 17:13 | lpag | Virus máy tính | Nhận xét(0) | Đọc(5880)
   Nguồn: tinit.net | Lớn | Vừa | Nhỏ
Highslide JSHiểu một cách đầy đủ về nguyên tắc khởi động của Windows và cách Windows làm việc với chương trình, bạn sẽ dễ dàng có cái nhìn tổng quát về việc Virus máy tính sẽ tác động vào đâu để có thể nằm vùng và tung hoành trên hệ thống.

1. START-UP FOLDER. Dường như folder này quá quen thuộc với bạn. Windows sẽ tiến hành mở mỗi chương trình được đưa vào folder này.

Các chương trình được đưa vào folder này sẽ được khởi động, và ngay cả các shortcut của chương trình nếu nằm trong start-up cũng sẽ run.

Highslide JS


Ví dụ, Nếu đưa một tài liệu Microsoft Word vào Start Up folder, Word sẽ tự động chạy và mở tài liệu này khi Windows khởi động. Điều tương tự xảy ra, nếu bạn đặt vào đó một file âm thanh như WAV, phần mềm Audio sẽ phát âm thanh này vào Windows, hoặc đặt vào đó các trang web yêu thích (favouties), Internet Explorer (hoặc các trình duyệt khác) sẽ mở trang web đó cho bạn. Và thay vì đưa file .exe hay file gốc của chương trình vào, bạn chỉ cần đưa vào các shortcut của nó.

2. REGISTRY. Windows sẽ thực thi tất cả các chỉ thị nằm trong phân mục "Run" của Registry. Các mục trong Run (hoặc các khu vực khác của Registry ) có thể là một chương trình, một file, hay document…như đã giải thích ở phần start-up folder.

3. REGISTRY. Windows sẽ thực thi tất cả các chỉ thị nằm trong phân mục "RunServices" của Registry.

Highslide JS


4. REGISTRY. Windows sẽ thực thi tất cả các chỉ thị tại  "RunOnce" của Registry.

Highslide JS


5. REGISTRY. Windows sẽ thực thi tất cả các chỉ thị nằm trong phân mục "RunServicesOnce" của Registry. (Windows thường dùng 2 phân mục "RunOnce" để chạy các chương trình trong một thời điểm duy nhất, thường là khi khởi động lại máy sau khi tiến hành cài đặt chương trình)

6. REGISTRY. Windows sẽ thực thi tất cả các chỉ thị nằm trong phân mục HKEY_CLASSES_ROOT\exefile\shell\open\command "%1" %* scủa Registry. Bất cứ command nào được đưa vào đây, sẽ được thi hành.

Các phân mục Registry khác cũng hoạt động tương tự là:

[HKEY_CLASSES_ROOT\exefile\shell\open\command] ="\"%1\" %*"
[HKEY_CLASSES_ROOT\comfile\shell\open\command] ="\"%1\" %*"
[HKEY_CLASSES_ROOT\batfile\shell\open\command] ="\"%1\" %*"
[HKEY_CLASSES_ROOT\htafile\Shell\Open\Command] ="\"%1\" %*"
[HKEY_CLASSES_ROOT\piffile\shell\open\command] ="\"%1\" %*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\shell\open\command] ="\"%1\"%*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\comfile\shell\open\command] ="\"%1\"%*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command] ="\"%1\"%*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\htafile\Shell\Open\Command] ="\"%1\"%*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\piffile\shell\open\command] ="\"%1\"%*"


Nếu các Khoá không có gía trị  "\"%1\" %*" như mô tả ở trên, có thể được thay đổi dưới một dạng khác, chẳn hạn như: "\"somefilename.exe %1\" %*" chứ không phải ghi rõ dưới dạng một file.exe cụ thể, ví dụ như word.exe

7. BATCH FILE. Windows thực thi tất cả các chỉ thị của file batch, được đặt trong folder Windows (trên máy bạn là folder Windows hoặc WINNT). Không phải tất cả người dùng Windows và ngay cả chuyên gia máy tính đều biết file batch được Windows sử dụng có tên là WINSTART.BAT, nó thường được malware lợi dụng để đánh lừa Windows gây nguy hại cho hệ thống, đặc biệt là trên các OS cũ như Windows ME, 98 về trước.

Highslide JS


8. INITIALIZATION FILE. Windows sẽ thực thi các chỉ thị tại dòng "RUN=" trong file WIN.INI, được đặt trong folder Windows hay WINNT.

9. INITIALIZATION FILE. Windows sẽ thực thi các chỉ thị tại dòng "LOAD=" trong file WIN.INI được đặt trong folder Windows hay WINNT.

Nó cũng thực thi các chỉ thị được ghi trong shell= in System.ini hay c:\windows\system.ini:

[boot]
shell=explorer.exe C:\windows\filename
file explorer.exe sẽ khởi động bất cứ khi nào Windows start.


Với Win.ini, mỗi dòng trong file là một chỉ thị để windows tiến hành thực thi.

10. RELAUNCHING. Windows sẽ thực thi lại các chương trình, khi nó đột ngột shutdown, Ví dụ khi bạn đang open một trang web, và windows shutdown, lần khởi động kế tiếp Windows sẽ kích hoạt lại IE để mở đúng website trước đó. Nếu Windows của bạn không làm việc này, bạn có thể cài đặt tool miễn phí hỗ trợ Windows là Tweak UI, sau đó kích hoạt tính năng "Remember Explorer settings," .

11. TASK SCHEDULER. Windows sẽ thực thi các chỉ thị trong Windows Task Scheduler (hoặc bất cứ chương trình hãng thứ 3 nào, tương tự Task Scheduler).

12. SECONDARY INSTRUCTIONS. Sau khi Windows kích hoạt các chương trình “mẹ”, các chương trình con có thể chạy theo chỉ thị riêng của chương trình mẹ đã thiết kế.

13. DÙNG EXPLORER.EXE.

Windows sẽ tải  explorer.exe (nằm trong folder Windows hoặc WINNT) trong suốt quá trình khởi động. Nếu explorer.exe gặp sự cố , user có thể bị Khoá không log-in được vào hệ thống, sau khi họ tiến hành khởi động máy

Highslide JS


Nếu explorer.exe là mộ trojan núp bóng, trojan sẽ được kích hoạt khi khởi động,không như các phương thức tự khởi động khác có key trong registry điều khiển, explorer.exe chỉ đơn giản được hệ thống kích hoạt và chạy.

14. Các phương thức khác

Trong danh sách dưới đây, 2 cách đầu tiên đã được trojan nổi tiếng SubSeven sử dụng để kích hoạt và nằm vùng trong hệ thống của bạn

Trojan Subseven

HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\explorer\Usershell folders

Highslide JS
SubSeven sau khi lây vào máy nạn nhân



Icq Inet

Các khoá kích hoạt trong Registry của chương trình ICQ

[HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agent\Apps\test]
"Path"="test.exe"
"Startup"="c:\\test"
"Parameters"=""
"Enable"="Yes"

[HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agent\Apps\]
Khoá này xác nhận, tất cả các ứng dụng s4 được thực thi nếu ICQNET phát hiện kết nối Internet.

[HKEY_LOCAL_MACHINE\Software\CLASSES\ShellScrap] ="Scrap object"
"NeverShowExt"=""
Khoá này thay đổi phần mở rộng file của bạn.


Như vậy bài viết đã trình bày nhiều cách thức Windows kích hoạt các chương trình, khi Windows khởi động. Việc hiểu rõ toàn bộ các quy trình này, từ  đơn giản như Start-up folder, Task Schedule, hay Win.ini, Winni.ini, Batch file cho đến các khoá và phân muc phức tạp được tạo trong Registry..

Những kẻ viết Malware phá hoại luôn hiểu rõ việc này, đã bằng nhiều cách thức khác nhau, cấy vào hệ thống những lệnh thực thi để giấu malware, kích hoạt chúng và phá hoại hệ thống..

Trích NIS

  Đánh giá nội dung
Vui lòng đánh giá nội dung này nếu bạn thấy hay. Cám ơn bạn!

Bài viết số 354 đã được: 7.3/10 (3 Đánh giá)

Bài viết liên quan Bài viết ngẫu nhiên
Công cụ giải cứu dữ liệu bị WannaCry chiếm giữ...
Lỗ hổng đe dọa hơn 1 tỉ tài khoản ứng...
Làm thế nào để biết máy tính có dính phần...
Ransomware - bắt cóc dữ liệu đòi tiền chuộc, phát...
Công cụ miễn phí cứu dữ liệu bị Ransomware cướp...
Hướng dẫn sử dụng phần mềm diệt virus AVG internet...
Gõ nhầm đuôi '.com' thành '.om' có thể giúp virus...
Hacker nhúng mã độc vào hệ điều h​ành Linux Mint...
Đầu năm 2016 Kaspersky ra mắt phần mềm diệt virus...
Nhấn phím Backspace 28 lần để hack Linux, quá đơn...
Đã có thể tải về Gmail...
Tạo máy chủ chia sẻ dữ...
Cái dọc tẩu
Sao lưu dữ liệu trước khi...
7 ứng dụng quay số hay...
'Lật tẩy' phần mềm diệt virus...
Lịch sử và ý nghĩa lễ...
9 phím tắt iPhone để soạn...
Cầu thang
Apple ra iPad Air 2 mỏng...
Nếu bạn thấy bài viết hay vui lòng Bookmark bài viết. Cám ơn bạn!

Bookmark and Share
Edit & develop by LPAg v1.0.3.1376006758 [+] Từ khóa: LPAg, Computer, Mobile, Software, Hardware