網(wǎng)絡(luò)后門與網(wǎng)絡(luò)隱身網(wǎng)絡(luò)后門與網(wǎng)絡(luò)隱身隱藏技術(shù)入侵者不可避免與遠(yuǎn)程主機(jī)直接接觸，這樣很容易暴露他們的真實(shí)身份，因此入侵者需要使用一些額外的手段來隱藏他們的行蹤。主要有三個(gè)方面的隱藏技術(shù)：1）文件傳輸與隱藏技術(shù)2）掃描隱藏技術(shù)3）入侵隱藏技術(shù)隱藏技術(shù)入侵者不可避免與遠(yuǎn)程主機(jī)直接接觸，這樣很容易暴露他們文件傳輸與隱藏技術(shù)文件傳輸1）IPC$文件傳輸2）FTP傳輸文件打包工具：通過對(duì)文件壓縮，減小文件的體積，減少傳送時(shí)間，把多個(gè)文件打包在一個(gè)文件，簡(jiǎn)化傳輸命令。RARX300.exe命令行方式下的壓縮工具文件傳輸與隱藏技術(shù)文件傳輸文件隱藏1)簡(jiǎn)單隱藏使用命令attrib為文件添加”隱藏”和“系統(tǒng)”屬性命令格式：attrib+h+s<文件>+h給目標(biāo)文件添加隱藏屬性+s給目標(biāo)文件添加系統(tǒng)屬性文件隱藏利用專用文件夾隱藏文件在windwos系統(tǒng)中，可以雙擊“計(jì)劃任務(wù)”、“回收站”等圖標(biāo)來實(shí)現(xiàn)一些系統(tǒng)的管理操作，實(shí)際上也可以把這些圖標(biāo)看成文件夾。與普通文件夾不同的是，這類文件夾屬于系統(tǒng)專用。表面上看去并不能在這些文件夾中進(jìn)行文件存放、復(fù)制、粘貼等操作，但實(shí)際上，這些系統(tǒng)專用文件夾確實(shí)可以用來存放文件的。利用專用文件夾隱藏文件實(shí)例1：隱藏殺進(jìn)程工具aproman.exe在命令行方式下，鍵入命令Copyc:\aproman.exec:\winnt\tasks可以使用命令查看Cdc:\winnt\tasksDir但在圖形界面中，看不到這aproman.exe這個(gè)文件實(shí)例1：隱藏殺進(jìn)程工具aproman.exe實(shí)例2：自建專用文件夾1)新建一個(gè)文件夾，重新命名為“Faketasks.{D6277990-4C6A-11CF-8D87-00AA0060F5BF}”這時(shí)，新建文件夾和系統(tǒng)自帶的計(jì)劃任務(wù)完全一樣。實(shí)例2：自建專用文件夾掃描隱藏技術(shù)通常入侵者都是通過制作“掃描代理肉雞”的方法來隱藏自己的掃描行為。1、手工思路：把掃描器傳輸?shù)饺怆u里，然后入侵者通過遠(yuǎn)程控制使肉雞執(zhí)行掃描程序。掃描隱藏技術(shù)通常入侵者都是通過制作“掃描代理肉雞”的方法來隱2、工具，如流光sensor流光sensor是集成在流光掃描器中的工具，用來管理、制作掃描型肉雞，功能強(qiáng)大，只要獲得遠(yuǎn)程主機(jī)的口令，入侵者就可以通過流光掃描器把該主機(jī)加入流光sensor中成為掃描型肉雞。2、工具，如流光sensor入侵隱藏技術(shù)跳板技術(shù)這里指的跳板可稱為“入侵代理”或入侵肉雞，它存在于在入侵者與遠(yuǎn)程主機(jī)之間，用來代替入侵者與遠(yuǎn)程主機(jī)建立網(wǎng)絡(luò)連接或漏洞攻擊，這種間接的連接方式可以避免與遠(yuǎn)程主機(jī)的直接接觸，從而實(shí)現(xiàn)入侵中的隱藏。入侵隱藏技術(shù)跳板技術(shù)入侵隱藏技術(shù)跳板結(jié)構(gòu)下面是一個(gè)簡(jiǎn)單的攻擊模型，入侵者通過跳板一、跳板二、跳板三與遠(yuǎn)程主機(jī)建立連接。虛擬機(jī)一虛擬機(jī)二虛擬機(jī)三本機(jī)入侵隱藏技術(shù)跳板結(jié)構(gòu)虛擬機(jī)一虛擬機(jī)二虛擬機(jī)三本機(jī)選擇跳板的原則是選擇不同地區(qū)的主機(jī)作為代理。比如現(xiàn)在要入侵北美的某一臺(tái)主機(jī)，選擇南非的某一臺(tái)主機(jī)作為一級(jí)代理服務(wù)器，選擇北歐的某一臺(tái)計(jì)算機(jī)作為二級(jí)代理，再選擇南美的一臺(tái)主機(jī)作為三級(jí)代理服務(wù)器，這樣很安全了。選擇跳板的原則是選擇不同地區(qū)的主機(jī)作為代理。比如現(xiàn)在要入侵北制作跳板方法(1)手工最簡(jiǎn)單、最通用。通過telnet或其他連接工具把一個(gè)個(gè)跳板連接起來。制作跳板方法(1)手工制作跳板方法(2)采用網(wǎng)絡(luò)代理跳板常用的網(wǎng)絡(luò)代理跳板工具很多，這里介紹一種比較常用而且功能比較強(qiáng)大的代理工具：Snake代理跳板。Snake的代理跳板，支持TCP/UDP代理，支持多個(gè)（最多達(dá)到255）跳板。程序文件為：SkSockServer.exe，代理方式為Sock5，并自動(dòng)打開默認(rèn)端口1813.監(jiān)聽。制作跳板方法(2)采用網(wǎng)絡(luò)代理跳板使用Snake代理跳板使用Snake代理跳板需要首先在每一級(jí)跳板主機(jī)上安裝Snake代理服務(wù)器。程序文件是SkSockServer.exe，將該文件拷貝到目標(biāo)主機(jī)上。一般首先將本地計(jì)算機(jī)設(shè)置為一級(jí)代理，將文件拷貝到C盤根目錄下，然后將代理服務(wù)安裝到主機(jī)上。安裝需要四個(gè)步驟，使用Snake代理跳板使用Snake代理跳板需要首先在每一查看開放的1122端口第一步執(zhí)行“sksockserver-install”將代理服務(wù)安裝主機(jī)中第二步執(zhí)行“sksockserver-configport1122”將代理服務(wù)的端口設(shè)置為1122，當(dāng)然可以設(shè)置為其他的數(shù)值，第三步執(zhí)行“sksockserver-configstarttype2”將該服務(wù)的啟動(dòng)方式設(shè)置為自動(dòng)啟動(dòng)。第四步執(zhí)行“netstartskserver”啟動(dòng)代理服務(wù)。設(shè)置完畢以后使用“netstat-an”命令查看1122端口是否開放查看開放的1122端口第一步執(zhí)行“sksockserver代理級(jí)別配置工具本地設(shè)置完畢以后，在網(wǎng)絡(luò)上其他的主機(jī)上設(shè)置二級(jí)代理，比如在IP為的主機(jī)上也設(shè)置和本機(jī)同樣的代理配置。使用本地代理配置工具：SkServerGUI.exe，該配置工具的主界面如圖所示。代理級(jí)別配置工具本地設(shè)置完畢以后，在網(wǎng)絡(luò)上其他的主機(jī)上設(shè)置設(shè)置經(jīng)過的代理服務(wù)器選擇主菜單“配置”下的菜單項(xiàng)“經(jīng)過的SKServer”，在出現(xiàn)的對(duì)話框中設(shè)置代理的順序，第一級(jí)代理是本地的1122端口，IP地址是，第二級(jí)代理是，端口是1122端口，注意將復(fù)選框“允許”選中，如圖所示。設(shè)置經(jīng)過的代理服務(wù)器選擇主菜單“配置”下的菜單項(xiàng)“經(jīng)過的S設(shè)置可以訪問代理的客戶端設(shè)置可以訪問該代理的客戶端，選擇主菜單“配置”下的菜單項(xiàng)“客戶端”，這里只允許本地訪問該代理服務(wù)，所以將IP地址設(shè)置為，子網(wǎng)掩碼設(shè)置為“55”，并將復(fù)選框“允許”選中。。設(shè)置可以訪問代理的客戶端設(shè)置可以訪問該代理的客戶端，選擇主啟動(dòng)代理跳板一個(gè)二級(jí)代理設(shè)置完畢，選擇菜單欄“命令”下的菜單項(xiàng)“開始”，啟動(dòng)該代理跳板。該程序啟動(dòng)以后監(jiān)聽的端口是“1913”。啟動(dòng)代理跳板一個(gè)二級(jí)代理設(shè)置完畢，選擇菜單欄“命令”下的菜安裝程序和漢化補(bǔ)丁下面需要安裝代理的客戶端程序，該程序包含兩個(gè)程序，一個(gè)是安裝程序，一個(gè)漢化補(bǔ)丁，如果不安裝補(bǔ)丁程序?qū)⒉荒苁褂?。安裝程序和漢化補(bǔ)丁下面需要安裝代理的客戶端程序，該程序包含設(shè)置Socks代理首先安裝sc32r231.exe，再安裝補(bǔ)丁程序HBC-SC32231-Ronnier.exe，然后執(zhí)行該程序，首先出現(xiàn)設(shè)置窗口如圖所示。設(shè)置Socks代理首先安裝sc32r231.exe，再安裝代理客戶端的主界面設(shè)置Socks代理服務(wù)器為本地IP地址，端口設(shè)置為跳板的監(jiān)聽端口“1913”，選擇Socks版本5作為代理。設(shè)置完畢后，點(diǎn)擊按鈕“確定”，主界面如圖所示。代理客戶端的主界面設(shè)置Socks代理服務(wù)器為本地IP地址1設(shè)置需要代理的應(yīng)用程序添加需要代理的應(yīng)用程序，點(diǎn)擊工具欄圖標(biāo)“新建”，比如現(xiàn)在添加InternetExplore添加進(jìn)來，設(shè)置需要代理的應(yīng)用程序添加需要代理的應(yīng)用程序，點(diǎn)擊工具欄圖設(shè)置完畢以后，IE的圖標(biāo)就在列表中了，選中IE圖標(biāo)，然后點(diǎn)擊工具欄圖標(biāo)“運(yùn)行”，設(shè)置完畢以后，IE的圖標(biāo)就在列表中了，選中IE圖標(biāo)，然后點(diǎn)擊網(wǎng)絡(luò)后門網(wǎng)絡(luò)后門是保持對(duì)目標(biāo)主機(jī)長(zhǎng)久控制的關(guān)鍵策略?？梢酝ㄟ^建立服務(wù)端口和克隆管理員帳號(hào)來實(shí)現(xiàn)。留后門的藝術(shù)只要能不通過正常登錄進(jìn)入系統(tǒng)的途徑都稱之為網(wǎng)絡(luò)后門。后門的好壞取決于被管理員發(fā)現(xiàn)的概率。只要是不容易被發(fā)現(xiàn)的后門都是好后門。留后門的原理和選間諜是一樣的，讓管理員看了感覺沒有任何特別的。網(wǎng)絡(luò)后門網(wǎng)絡(luò)后門是保持對(duì)目標(biāo)主機(jī)長(zhǎng)久控制的關(guān)鍵策略?？梢酝ㄓ涗浌芾韱T口令修改過程當(dāng)入侵到對(duì)方主機(jī)并得到管理員口令以后，就可以對(duì)主機(jī)進(jìn)行長(zhǎng)久入侵了，但是一個(gè)好的管理員一般每隔半個(gè)月左右就會(huì)修改一次密碼，這樣已經(jīng)得到的密碼就不起作用了。利用工具軟件Win2kPass.exe記錄修改的新密碼，該軟件將密碼記錄在Winnt\temp目錄下的Config.ini文件中，有時(shí)候文件名可能不是Config，但是擴(kuò)展名一定是ini，該工具軟件是有“自殺”的功能，就是當(dāng)執(zhí)行完畢后，自動(dòng)刪除自己。記錄管理員口令修改過程當(dāng)入侵到對(duì)方主機(jī)并得到管理員口令以后，記錄管理員口令修改過程首先在對(duì)方操作系統(tǒng)中執(zhí)行Win2KPass.exe文件，當(dāng)對(duì)方主機(jī)管理員密碼修改并重啟計(jì)算機(jī)以后，就在Winnt\temp目錄下產(chǎn)生一個(gè)ini文件。記錄管理員口令修改過程首先在對(duì)方操作系統(tǒng)中執(zhí)行Win2KPa建立Web服務(wù)和Telnet服務(wù)

使用工具軟件wnc.exe可以在對(duì)方的主機(jī)上開啟兩個(gè)服務(wù)：Web服務(wù)和Telnet服務(wù)。其中Web服務(wù)的端口是808，Telnet服務(wù)的端口是707。執(zhí)行很簡(jiǎn)單，只要在對(duì)方的命令行下執(zhí)行一下wnc.exe就可以。建立Web服務(wù)和Telnet服務(wù)使用工具軟件wnc.exe測(cè)試Web服務(wù)說明服務(wù)端口開啟成功，可以連接該目標(biāo)主機(jī)提供的這兩個(gè)服務(wù)了。首先測(cè)試Web服務(wù)808端口，在瀏覽器地址欄中輸入“:808”，出現(xiàn)主機(jī)的盤符列表。測(cè)試Web服務(wù)說明服務(wù)端口開啟成功，可以連接該目標(biāo)主機(jī)提供看密碼修改記錄文件可以下載對(duì)方硬盤的任意文件（對(duì)于漢字文件名的文件下載有問題），可以到Winnt/temp目錄下查看對(duì)方密碼修改記錄文件。看密碼修改記錄文件可以下載對(duì)方硬盤的任意文件（對(duì)于漢字文件利用telnet命令連接707端口可以利用“telnet09707”命令登錄到對(duì)方的命令行。利用telnet命令連接707端口可以利用“telnet登錄到對(duì)方的命令行不用任何的用戶名和密碼就可以登錄對(duì)對(duì)方主機(jī)的命令行。登錄到對(duì)方的命令行不用任何的用戶名和密碼就可以登錄對(duì)對(duì)方主自啟動(dòng)程序通過707端口也可以方便的獲得對(duì)方的管理員權(quán)限。wnc.exe的功能強(qiáng)大，但是該程序不能自動(dòng)加載執(zhí)行，需要將該文件加到自啟動(dòng)程序列表中。一般將wnc.exe文件放到對(duì)方的winnt目錄或者winnt/system32目下，這兩個(gè)目錄是系統(tǒng)環(huán)境目錄，執(zhí)行這兩個(gè)目錄下的文件不需要給出具體的路徑。自啟動(dòng)程序通過707端口也可以方便的獲得對(duì)方的管理員權(quán)限。將wnc.exe加到自啟動(dòng)列表首先將wnc.exe和reg.exe文件拷貝對(duì)方的winnt目錄下，利用reg.exe文件將wnc.exe加載到注冊(cè)表的自啟動(dòng)項(xiàng)目中，命令的格式為：“reg.exeaddHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run/vservice/dwnc.exe”執(zhí)行過程如圖所示。將wnc.exe加到自啟動(dòng)列表首先將wnc.exe和reg修改后的注冊(cè)表如果可以進(jìn)入對(duì)方主機(jī)的圖形界面，可以查看一下對(duì)方的注冊(cè)表的自啟動(dòng)項(xiàng)，已經(jīng)被修改，修改后的注冊(cè)表如果可以進(jìn)入對(duì)方主機(jī)的圖形界面，可以查看一下讓禁用的Guest具有管理權(quán)限

操作系統(tǒng)所有的用戶信息都保存在注冊(cè)表中，但是如果直接使用“regedit”命令打開注冊(cè)表，該鍵值是隱藏的。讓禁用的Guest具有管理權(quán)限操作系統(tǒng)所有的用戶信息都保存查看winlogon.exe的進(jìn)程號(hào)可以利用工具軟件psu.exe提升regedit權(quán)限，得到該鍵值的查看和編輯權(quán)。將psu.exe拷貝對(duì)方主機(jī)，并在任務(wù)管理器查看對(duì)方主機(jī)winlogon.exe進(jìn)程的ID號(hào)或者使用pulist.exe文件查看該進(jìn)程的ID號(hào).查看winlogon.exe的進(jìn)程號(hào)可以利用工具軟件psu執(zhí)行命令該進(jìn)程號(hào)為192，下面執(zhí)行命令“psu-pregedit-ipid”其中pid為Winlogon.exe的進(jìn)程號(hào)。執(zhí)行命令該進(jìn)程號(hào)為192，下面執(zhí)行命令“psu-pre查看SAM鍵值在執(zhí)行該命令的時(shí)候必須將注冊(cè)表關(guān)閉，執(zhí)行完命令以后，自動(dòng)打開了注冊(cè)表編輯器，查看SAM下的鍵值。查看SAM鍵值在執(zhí)行該命令的時(shí)候必須將注冊(cè)表關(guān)閉，執(zhí)行完命查看帳戶對(duì)應(yīng)的鍵值查看Administrator和guest默認(rèn)的鍵值，在Windows2000操作系統(tǒng)上，Administrator一般為0x1f4，guest一般為0x1f5。查看帳戶對(duì)應(yīng)的鍵值查看Administrator和gues帳戶配置信息根據(jù)“0x1f4”和“0x1f5”找到Administrator和guest帳戶的配置信息。帳戶配置信息根據(jù)“0x1f4”和“0x1f5”找到Admi拷貝管理員配置信息F鍵值中保存了帳戶的密碼信息，雙擊“000001F4”目錄下鍵值“F”，可以看到該鍵值的二進(jìn)制信息，將這些二進(jìn)制信息全選，并拷貝到出來。拷貝管理員配置信息F鍵值中保存了帳戶的密碼信息，雙擊“00覆蓋Guest用戶的配置信息將拷貝出來的信息全部覆蓋到“000001F5”目錄下的“F”鍵值中。覆蓋Guest用戶的配置信息將拷貝出來的信息全部覆蓋到“0保存鍵值Guest帳戶已經(jīng)具有管理員權(quán)限了。為了能夠使Guest帳戶在禁用的狀態(tài)登錄，下一步將Guest帳戶信息導(dǎo)出注冊(cè)表。選擇User目錄，然后選擇菜單欄“注冊(cè)表”下的菜單項(xiàng)“導(dǎo)出注冊(cè)表文件”，將該鍵值保存為一個(gè)配置文件。保存鍵值Guest帳戶已經(jīng)具有管理員權(quán)限了。為了能夠使Gu刪除Guest帳戶信息打開計(jì)算機(jī)管理對(duì)話框，并分別刪除Guest和“00001F5”兩個(gè)目錄刪除Guest帳戶信息打開計(jì)算機(jī)管理對(duì)話框，并分別刪除Gu刷新用戶列表這個(gè)刷新對(duì)方主機(jī)的用戶列表，會(huì)出現(xiàn)用戶找不到的對(duì)話框,然后再將剛才導(dǎo)出的信息文件，再導(dǎo)入注冊(cè)表。再刷新用戶列表就不在出現(xiàn)該對(duì)話框了。刷新用戶列表這個(gè)刷新對(duì)方主機(jī)的用戶列表，會(huì)出現(xiàn)用戶找不到的修改Guest帳戶的屬性下面在對(duì)方主機(jī)的命令行下修改Guest的用戶屬性，注意：一定要在命令行下。首先修改Guest帳戶的密碼，比如這里改成“123456”，并將Guest帳戶開啟和停止。修改Guest帳戶的屬性下面在對(duì)方主機(jī)的命令行下修改Gue查看guest帳戶屬性再查看一下計(jì)算機(jī)管理窗口中的Guest帳戶，發(fā)現(xiàn)該帳戶使禁用的。查看guest帳戶屬性再查看一下計(jì)算機(jī)管理窗口中的Gues連接終端服務(wù)的軟件終端服務(wù)是Windows操作系統(tǒng)自帶的，可以遠(yuǎn)程通過圖形界面操縱服務(wù)器。在默認(rèn)的情況下終端服務(wù)的端口號(hào)是3389?？梢栽谙到y(tǒng)服務(wù)中查看終端服務(wù)是否啟動(dòng)連接終端服務(wù)的軟件終端服務(wù)是Windows操作系統(tǒng)自帶的，查看終端服務(wù)的端口服務(wù)默認(rèn)的端口是3389，可以利用命令“netstat-an”來查看該端口是否開放。查看終端服務(wù)的端口服務(wù)默認(rèn)的端口是3389，可以利用命令“連接到終端服務(wù)管理員為了遠(yuǎn)程操作方便，服務(wù)器上的該服務(wù)一般都是開啟的。這就給黑客們提供一條可以遠(yuǎn)程圖形化操作主機(jī)的途徑。利用該服務(wù)，目前常用的有三種方法連接到對(duì)方主機(jī)：1、使用Windows2000的遠(yuǎn)程桌面連接工具。2、使用WindowsXP的遠(yuǎn)程桌面連接工具。3、使用基于瀏覽器方式的連接工具。連接到終端服務(wù)管理員為了遠(yuǎn)程操作方便，服務(wù)器上的該服務(wù)一般連接到終端服務(wù)第一種方法利用Windows2000自帶的終端服務(wù)工具：mstsc.exe。該工具中只要設(shè)置要連接主機(jī)的IP地址和連接桌面的分辨率就可以。連接到終端服務(wù)第一種方法利用Windows2000自帶的終端服務(wù)如果目標(biāo)主機(jī)的終端服務(wù)是啟動(dòng)的，可以直接登錄到對(duì)方的桌面，在登錄框輸入用戶名和密碼就可以在圖形化界面種操縱對(duì)方主機(jī)了。終端服務(wù)如果目標(biāo)主機(jī)的終端服務(wù)是啟動(dòng)的，可以直接登錄到對(duì)方的Web方式連接第二種方法是使用Web方式連接，該工具包含幾個(gè)文件，需要將這些文件配置到IIS的站點(diǎn)中去，程序列表如圖。Web方式連接第二種方法是使用Web方式連接，該工具包含幾個(gè)配置Web站點(diǎn)將這些文件設(shè)置到本地IIS默認(rèn)Web站點(diǎn)的根目錄。配置Web站點(diǎn)將這些文件設(shè)置到本地IIS默認(rèn)Web站點(diǎn)的根在瀏覽器中連接終端服務(wù)然后在瀏覽器中輸入“”打開連接程序。在瀏覽器中連接終端服務(wù)然后在瀏覽器中輸入“http://1瀏覽器中的終端服務(wù)登錄界面在服務(wù)器地址文本框中輸入對(duì)方的IP地址，再選擇連接窗口的分辨率，點(diǎn)擊按鈕“連接”連接到對(duì)方的桌面。瀏覽器中的終端服務(wù)登錄界面在服務(wù)器地址文本框中輸入對(duì)方的I木馬木馬是一種可以駐留在對(duì)方系統(tǒng)中的一種程序。木馬一般由兩部分組成：服務(wù)器端和客戶端。駐留在對(duì)方服務(wù)器的稱之為木馬的服務(wù)器端，遠(yuǎn)程的可以連到木馬服務(wù)器的程序稱之為客戶端。木馬的功能是通過客戶端可以操縱服務(wù)器，進(jìn)而操縱對(duì)方的主機(jī)。木馬木馬是一種可以駐留在對(duì)方系統(tǒng)中的一種程序。木馬木馬來自于“特洛伊木馬”，英文名稱為TrojanHorse。傳說希臘人圍攻特洛伊城，久久不能攻克，后來軍師想出了一個(gè)特洛伊木馬計(jì)，讓士兵藏在巨大的特洛伊木馬中部隊(duì)假裝撤退而將特洛伊木馬丟棄在特洛伊城下，讓敵人將其作為戰(zhàn)利品拖入城中，到了夜里，特洛伊木馬內(nèi)的士兵便趁著夜里敵人慶祝勝利、放松警惕的時(shí)候從特洛伊木馬里悄悄地爬出來，與城外的部隊(duì)里應(yīng)外合攻下了特洛伊城。由于特洛伊木馬程序的功能和此類似，故而得名。木馬木馬來自于“特洛伊木馬”，英文名稱為TrojanHor木馬的發(fā)展第一代木馬功能簡(jiǎn)單，主要對(duì)付Unix系統(tǒng)，Windows系統(tǒng)木馬不多，第二代木馬功能大大加強(qiáng)，幾乎有現(xiàn)在木馬的所有操作，國(guó)內(nèi)有代表性的是冰河木馬。第三代木馬繼續(xù)完善連接技術(shù)，增加木馬的穿透防火墻功能，出現(xiàn)了“反彈端口”技術(shù)，國(guó)內(nèi)有代表性的是“灰鴿子”。第四代增加了進(jìn)程隱藏技術(shù)，使系統(tǒng)更加難以發(fā)現(xiàn)木馬的存在與入侵的連接。木馬的發(fā)展第一代木馬功能簡(jiǎn)單，主要對(duì)付Unix系統(tǒng)，Wind木馬分類按對(duì)計(jì)算機(jī)的破壞方式分類遠(yuǎn)程訪問型木馬、密碼發(fā)送型木馬、鍵盤記錄型木馬、FTP型木馬按傳輸方式分類主動(dòng)型木馬、反彈型木馬、嵌入式木馬。木馬分類按對(duì)計(jì)算機(jī)的破壞方式分類木馬實(shí)現(xiàn)技術(shù)木馬連接方式1)傳統(tǒng)連接方式即C/S連接方式，在這種連接方式下，遠(yuǎn)程主機(jī)開放監(jiān)聽端口等待外部連接，成為服務(wù)端，當(dāng)入侵者需要與遠(yuǎn)程主機(jī)建立連接的時(shí)侯，就主動(dòng)發(fā)出連接請(qǐng)求，從而建立連接。客戶端遠(yuǎn)程主機(jī)發(fā)出建立連接請(qǐng)求客戶端遠(yuǎn)程主機(jī)建立連接木馬實(shí)現(xiàn)技術(shù)木馬連接方式客戶端遠(yuǎn)程主機(jī)發(fā)出建立連接請(qǐng)求客戶端2)反彈端口技術(shù)a)遠(yuǎn)程主機(jī)主動(dòng)尋找客戶端建立連接，客戶端開放端口等待連接客戶端遠(yuǎn)程主機(jī)發(fā)出建立連接請(qǐng)求客戶端遠(yuǎn)程主機(jī)建立連接2)反彈端口技術(shù)客戶端遠(yuǎn)程主機(jī)發(fā)出建立連接請(qǐng)求客戶端遠(yuǎn)程主機(jī)b)客戶端遠(yuǎn)程主機(jī)更新ip,port中間代理，保存客戶端ip,port客戶端遠(yuǎn)程主機(jī)獲取客戶端ip,port中間代理，保存客戶端ip,port客戶端遠(yuǎn)程主機(jī)發(fā)出建立連接請(qǐng)求客戶端遠(yuǎn)程主機(jī)建立連接第一步第二步第三步第四步b)客戶端遠(yuǎn)程主機(jī)更新ip,port中間代理，保存客戶端ip木馬實(shí)現(xiàn)技術(shù)自動(dòng)啟動(dòng)技術(shù)一般的方法是通過修改系統(tǒng)的注冊(cè)表的方法，在注冊(cè)表中的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run鍵值中加上要啟動(dòng)的程序的路徑。木馬實(shí)現(xiàn)技術(shù)自動(dòng)啟動(dòng)技術(shù)Windows系統(tǒng)自啟動(dòng)程序十大藏身之所Windows啟動(dòng)時(shí)通常會(huì)有一大堆程序自動(dòng)啟動(dòng)。不要以為管好了“開始→程序→啟動(dòng)”菜單就萬事大吉，實(shí)際上，讓W(xué)indows自動(dòng)啟動(dòng)程序的辦法很多，下面列出最重要的兩個(gè)文件夾和八個(gè)注冊(cè)鍵。一、當(dāng)前用戶專有的啟動(dòng)文件夾這是許多應(yīng)用軟件自動(dòng)啟動(dòng)的常用位置，Windows自動(dòng)啟動(dòng)放入該文件夾的所有快捷方式。用戶啟動(dòng)文件夾一般在：＼DocumentsandSettings＼<用戶名字>＼“開始”菜單＼程序＼啟動(dòng)，其中“<用戶名字>”是當(dāng)前登錄的用戶帳戶名稱。二、對(duì)所有用戶有效的啟動(dòng)文件夾這是尋找自動(dòng)啟動(dòng)程序的第二個(gè)重要位置，不管用戶用什么身份登錄系統(tǒng)，放入該文件夾的快捷方式總是自動(dòng)啟動(dòng)——這是它與用戶專有的啟動(dòng)文件夾的區(qū)別所在。該文件夾一般在：＼DocumentsandSettings＼AllUsers＼“開始”菜單＼程序＼啟動(dòng)。三、Load注冊(cè)鍵介紹該注冊(cè)鍵的資料不多，實(shí)際上它也能夠自動(dòng)啟動(dòng)程序。位置：HKEY_CURRENT_USER＼Software＼Microsoft＼WindowsNT＼CurrentVersion＼Windows＼load。

Windows系統(tǒng)自啟動(dòng)程序十大藏身之所Windows啟動(dòng)時(shí)四、Userinit注冊(cè)鍵位置：HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼WindowsNT＼CurrentVersion＼Winlogon＼Userinit。這里也能夠使系統(tǒng)啟動(dòng)時(shí)自動(dòng)初始化程序。通常該注冊(cè)鍵下面有一個(gè)userinit.exe，如圖，但這個(gè)鍵允許指定用逗號(hào)分隔的多個(gè)程序，例如“userinit.exe,OSA.exe”(不含引號(hào))。五、Explorer＼Run注冊(cè)鍵和load、Userinit不同，Explorer＼Run鍵在HKEY_CURRENT_USER和HKEY_LOCAL_MACHINE下都有，具體位置是：HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Policies＼Explorer＼Run，和HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼Policies＼Explorer＼Run。四、Userinit注冊(cè)鍵六、RunServicesOnce注冊(cè)鍵

RunServicesOnce注冊(cè)鍵用來啟動(dòng)服務(wù)程序，啟動(dòng)時(shí)間在用戶登錄之前，而且先于其他通過注冊(cè)鍵啟動(dòng)的程序。RunServicesOnce注冊(cè)鍵的位置是：HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼RunServicesOnce，和HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼RunServicesOnce。七、RunServices注冊(cè)鍵

RunServices注冊(cè)鍵指定的程序緊接RunServicesOnce指定的程序之后運(yùn)行，但兩者都在用戶登錄之前。RunServices的位置是：HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼RunServices，和HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼RunServices。八、RunOnce＼Setup注冊(cè)鍵

RunOnce＼Setup指定了用戶登錄之后運(yùn)行的程序，它的位置是：HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼RunOnce＼Setup，和HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼RunOnce＼Setup。六、RunServicesOnce注冊(cè)鍵九、RunOnce注冊(cè)鍵安裝程序通常用RunOnce鍵自動(dòng)運(yùn)行程序，它的位置在HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼RunOnce和HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼RunOnce。HKEY_LOCAL_MACHINE下面的RunOnce鍵會(huì)在用戶登錄之后立即運(yùn)行程序，運(yùn)行時(shí)機(jī)在其他Run鍵指定的程序之前。HKEY_CURRENT_USER下面的RunOnce鍵在操作系統(tǒng)處理其他Run鍵以及“啟動(dòng)”文件夾的內(nèi)容之后運(yùn)行。如果是XP，你還需要檢查一下HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼RunOnceEx。十、Run注冊(cè)鍵

Run是自動(dòng)運(yùn)行程序最常用的注冊(cè)鍵，位置在：HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Run，和HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼Run。HKEY_CURRENT_USER下面的Run鍵緊接HKEY_LOCAL_MACHINE下面的Run鍵運(yùn)行，但兩者都在處理“啟動(dòng)”文件夾之前。九、RunOnce注冊(cè)鍵木馬實(shí)現(xiàn)技術(shù)隱藏技術(shù)木馬程序必須要實(shí)現(xiàn)隱藏，否則當(dāng)木馬程序運(yùn)行后很容易被對(duì)方發(fā)現(xiàn)并清除。木馬程序必須要做到在任務(wù)欄中，在任務(wù)管理器中隱藏自己。(1)任務(wù)欄隱藏可以采用調(diào)用一些API函數(shù)的方法達(dá)到目的，如VC＋＋可使用ShowWindow(SW_HIDE)的方法。木馬實(shí)現(xiàn)技術(shù)隱藏技術(shù)(2)木馬為了更好的隱藏自己，又出現(xiàn)了所謂的無進(jìn)程木馬。方式(1)用帶木馬功能的擴(kuò)展名為DLL的動(dòng)態(tài)鏈接庫(kù)替換正常的動(dòng)態(tài)鏈接庫(kù);方式(2)制作DLL木馬，利用rundll32.exe或svchost.exe執(zhí)行;方式(3)遠(yuǎn)程線程技術(shù)，即一個(gè)進(jìn)程在另一個(gè)進(jìn)程的虛擬空間中創(chuàng)建遠(yuǎn)程線程的方法進(jìn)入那個(gè)進(jìn)程的內(nèi)存地址空間。(2)木馬為了更好的隱藏自己，又出現(xiàn)了所謂的無進(jìn)程木馬。方式木馬實(shí)現(xiàn)技術(shù)種植技術(shù)1)利用系統(tǒng)漏洞MIME木馬是把一個(gè)EXE文件用MIME編碼為一個(gè)EML文件，放在網(wǎng)頁(yè)上利用IE的編碼漏洞實(shí)現(xiàn)自動(dòng)下載和執(zhí)行。2)利用瀏覽網(wǎng)頁(yè)BMP木馬把一個(gè)EXE文件偽裝成一個(gè)BMP圖片文件顯示在被用戶瀏覽的網(wǎng)頁(yè)上，當(dāng)用戶單擊圖片時(shí)，欺騙IE自動(dòng)下載文件，再利用網(wǎng)頁(yè)中的腳本把BMP圖片文件還原成EXE文件，并把它放在注冊(cè)表啟動(dòng)項(xiàng)。3)捆綁下載一些程序和木馬捆綁在一起，只要到運(yùn)行這些程序，木馬就會(huì)自動(dòng)安裝木馬實(shí)現(xiàn)技術(shù)種植技術(shù)木馬實(shí)現(xiàn)技術(shù)控制技術(shù)1、控制對(duì)方鼠標(biāo)、鍵盤Keybd_event()函數(shù)可以模擬產(chǎn)生一個(gè)鍵盤動(dòng)作;mouse_event(),sendInput()函數(shù)可以模擬鼠標(biāo)事件2、監(jiān)視對(duì)方屏幕API函數(shù)如GetDC()、BitBlt()完成界面的截取3、記錄各種鍵盤信息使用鍵盤鉤子可以實(shí)現(xiàn)，所謂鍵盤鉤子就是擊鍵信息在到達(dá)應(yīng)用程序前由鉤子程序捕獲，被鉤子程序提前處理。函數(shù)SetWindowsHookEx()安裝鉤子，當(dāng)?shù)谝粋€(gè)函數(shù)為WH_KEYBOARD時(shí)安裝的就是鍵盤鉤子。4、獲取系統(tǒng)信息取得計(jì)算機(jī)名用函數(shù)GetComputerName(),更改計(jì)算機(jī)名SetComputerName(),取當(dāng)前用戶名GetUserName().木馬實(shí)現(xiàn)技術(shù)控制技術(shù)“冰河”木馬的使用“冰河”包含兩個(gè)程序文件，一個(gè)是服務(wù)器端，另一個(gè)是客戶端。win32.exe文件是服務(wù)器端程序，Y_Client.exe文件為客戶端程序。將win32.exe文件在遠(yuǎn)程得計(jì)算機(jī)上執(zhí)行以后，通過Y_Client.exe文件來控制遠(yuǎn)程得服務(wù)器“冰河”木馬的使用“冰河”包含兩個(gè)程序文件，一個(gè)是服務(wù)器端，選擇配置菜單將服務(wù)器程序種到對(duì)方主機(jī)之前需要對(duì)服務(wù)器程序做一些設(shè)置，比如連接端口，連接密碼等。選擇菜單欄“設(shè)置”下的菜單項(xiàng)“配置服務(wù)器程序”。選擇配置菜單將服務(wù)器程序種到對(duì)方主機(jī)之前需要對(duì)服務(wù)器程序做設(shè)置“冰河”服務(wù)器配置在出現(xiàn)的對(duì)話框中選擇服務(wù)器端程序win32.exe進(jìn)行配置，并填寫訪問服務(wù)器端程序的口令，這里設(shè)置為“1234567890”，如圖所示。設(shè)置“冰河”服務(wù)器配置在出現(xiàn)的對(duì)話框中選擇服務(wù)器端程序wi查看注冊(cè)表遠(yuǎn)程主機(jī)執(zhí)行完win32.exe文件以后，系統(tǒng)沒有任何反應(yīng)，其實(shí)已經(jīng)更改了注冊(cè)表，并將服務(wù)器端程序和文本文件進(jìn)行了關(guān)聯(lián)，當(dāng)用戶雙擊一個(gè)擴(kuò)展名為txt的文件的時(shí)候，就會(huì)自動(dòng)執(zhí)行冰河服務(wù)器端程序。查看注冊(cè)表遠(yuǎn)程主機(jī)執(zhí)行完win32.exe文件以后，系統(tǒng)沒使用冰河客戶端添加主機(jī)目標(biāo)主機(jī)中了冰河了，可以利用客戶端程序來連接服務(wù)器端程序。在客戶端添加主機(jī)的地址信息，這里的密碼是就是剛才設(shè)置的密碼。使用冰河客戶端添加主機(jī)目標(biāo)主機(jī)中了冰河了，可以利用客戶端程控制遠(yuǎn)程主機(jī)文件管理器：進(jìn)行文件管理操作和文件上傳、下載命令控制臺(tái)：口令類命令控制類命令網(wǎng)絡(luò)類命令文件類命令注冊(cè)表讀寫設(shè)置類命令控制遠(yuǎn)程主機(jī)文件管理器：進(jìn)行文件管理操作和文件上傳、下載清除IIS日志當(dāng)用戶訪問某個(gè)IIS服務(wù)器以后，無論是正常的訪問還是非正常的訪問，IIS都會(huì)記錄訪問者的IP地址以及訪問時(shí)間等信息。這些信息記錄在Winnt\System32\logFiles目錄下。清除IIS日志當(dāng)用戶訪問某個(gè)IIS服務(wù)器以后，無論是正常的訪IIS日志的格式打開任一文件夾下的任一文件，可以看到IIS日志的基本格式，記錄了用戶訪問的服務(wù)器文件、用戶登的時(shí)間、用戶的IP地址以及用戶瀏覽器以及操作系統(tǒng)的版本號(hào)。IIS日志的格式打開任一文件夾下的任一文件，可以看到II清除IIS日志最簡(jiǎn)單的方法是直接到該目錄下刪除這些文件夾，但是全部刪除文件以后，一定會(huì)引起管理員的懷疑。一般入侵的過程是短暫的，只會(huì)保存到一個(gè)Log文件，只要在該Log文件刪除所有自己的記錄就可以了。

清除IIS日志最簡(jiǎn)單的方法是直接到該目錄下刪除這些文件夾，清除IIS日志的全過程使用工具軟件CleanIISLog.exe可以做到這一點(diǎn)，首先將該文件拷貝到日志文件所在目錄，然后執(zhí)行命令“CleanIISLog.exeex031108.log”，第一個(gè)參數(shù)ex031108.log是日志文件名，文件名的后六位代表年月日，第二個(gè)參數(shù)是要在該Log文件中刪除的IP地址，也就是自己的IP地址。先查找當(dāng)前目錄下的文件，然后做清除的操作。清除IIS日志的全過程使用工具軟件CleanIISLog.清除主機(jī)日志主機(jī)日志包括三類的日志：應(yīng)用程序日志、安全日志和系統(tǒng)日志?？梢栽谟?jì)算機(jī)上通過控制面板下的“事件查看器”查看日志信息。清除主機(jī)日志主機(jī)日志包括三類的日志：應(yīng)用程序日志、安全日志清除主機(jī)日志使用工具軟件clearel.exe，可以方便的清除系統(tǒng)日志，首先將該文件上傳到對(duì)方主機(jī)，然后刪除這三種日志的命令格式為：ClearelSystemClearelSecurityClearelApplicationClearelAll這四條命令分別刪除系統(tǒng)日志、安全日志、應(yīng)用程序日志和刪除全部日志。命令執(zhí)行的過程如圖所示。清除主機(jī)日志使用工具軟件clearel.exe，可以方便的網(wǎng)絡(luò)后門與網(wǎng)絡(luò)隱身網(wǎng)絡(luò)后門與網(wǎng)絡(luò)隱身隱藏技術(shù)入侵者不可避免與遠(yuǎn)程主機(jī)直接接觸，這樣很容易暴露他們的真實(shí)身份，因此入侵者需要使用一些額外的手段來隱藏他們的行蹤。主要有三個(gè)方面的隱藏技術(shù)：1）文件傳輸與隱藏技術(shù)2）掃描隱藏技術(shù)3）入侵隱藏技術(shù)隱藏技術(shù)入侵者不可避免與遠(yuǎn)程主機(jī)直接接觸，這樣很容易暴露他們文件傳輸與隱藏技術(shù)文件傳輸1）IPC$文件傳輸2）FTP傳輸文件打包工具：通過對(duì)文件壓縮，減小文件的體積，減少傳送時(shí)間，把多個(gè)文件打包在一個(gè)文件，簡(jiǎn)化傳輸命令。RARX300.exe命令行方式下的壓縮工具文件傳輸與隱藏技術(shù)文件傳輸文件隱藏1)簡(jiǎn)單隱藏使用命令attrib為文件添加”隱藏”和“系統(tǒng)”屬性命令格式：attrib+h+s<文件>+h給目標(biāo)文件添加隱藏屬性+s給目標(biāo)文件添加系統(tǒng)屬性文件隱藏利用專用文件夾隱藏文件在windwos系統(tǒng)中，可以雙擊“計(jì)劃任務(wù)”、“回收站”等圖標(biāo)來實(shí)現(xiàn)一些系統(tǒng)的管理操作，實(shí)際上也可以把這些圖標(biāo)看成文件夾。與普通文件夾不同的是，這類文件夾屬于系統(tǒng)專用。表面上看去并不能在這些文件夾中進(jìn)行文件存放、復(fù)制、粘貼等操作，但實(shí)際上，這些系統(tǒng)專用文件夾確實(shí)可以用來存放文件的。利用專用文件夾隱藏文件實(shí)例1：隱藏殺進(jìn)程工具aproman.exe在命令行方式下，鍵入命令Copyc:\aproman.exec:\winnt\tasks可以使用命令查看Cdc:\winnt\tasksDir但在圖形界面中，看不到這aproman.exe這個(gè)文件實(shí)例1：隱藏殺進(jìn)程工具aproman.exe實(shí)例2：自建專用文件夾1)新建一個(gè)文件夾，重新命名為“Faketasks.{D6277990-4C6A-11CF-8D87-00AA0060F5BF}”這時(shí)，新建文件夾和系統(tǒng)自帶的計(jì)劃任務(wù)完全一樣。實(shí)例2：自建專用文件夾掃描隱藏技術(shù)通常入侵者都是通過制作“掃描代理肉雞”的方法來隱藏自己的掃描行為。1、手工思路：把掃描器傳輸?shù)饺怆u里，然后入侵者通過遠(yuǎn)程控制使肉雞執(zhí)行掃描程序。掃描隱藏技術(shù)通常入侵者都是通過制作“掃描代理肉雞”的方法來隱2、工具，如流光sensor流光sensor是集成在流光掃描器中的工具，用來管理、制作掃描型肉雞，功能強(qiáng)大，只要獲得遠(yuǎn)程主機(jī)的口令，入侵者就可以通過流光掃描器把該主機(jī)加入流光sensor中成為掃描型肉雞。2、工具，如流光sensor入侵隱藏技術(shù)跳板技術(shù)這里指的跳板可稱為“入侵代理”或入侵肉雞，它存在于在入侵者與遠(yuǎn)程主機(jī)之間，用來代替入侵者與遠(yuǎn)程主機(jī)建立網(wǎng)絡(luò)連接或漏洞攻擊，這種間接的連接方式可以避免與遠(yuǎn)程主機(jī)的直接接觸，從而實(shí)現(xiàn)入侵中的隱藏。入侵隱藏技術(shù)跳板技術(shù)入侵隱藏技術(shù)跳板結(jié)構(gòu)下面是一個(gè)簡(jiǎn)單的攻擊模型，入侵者通過跳板一、跳板二、跳板三與遠(yuǎn)程主機(jī)建立連接。虛擬機(jī)一虛擬機(jī)二虛擬機(jī)三本機(jī)入侵隱藏技術(shù)跳板結(jié)構(gòu)虛擬機(jī)一虛擬機(jī)二虛擬機(jī)三本機(jī)選擇跳板的原則是選擇不同地區(qū)的主機(jī)作為代理。比如現(xiàn)在要入侵北美的某一臺(tái)主機(jī)，選擇南非的某一臺(tái)主機(jī)作為一級(jí)代理服務(wù)器，選擇北歐的某一臺(tái)計(jì)算機(jī)作為二級(jí)代理，再選擇南美的一臺(tái)主機(jī)作為三級(jí)代理服務(wù)器，這樣很安全了。選擇跳板的原則是選擇不同地區(qū)的主機(jī)作為代理。比如現(xiàn)在要入侵北制作跳板方法(1)手工最簡(jiǎn)單、最通用。通過telnet或其他連接工具把一個(gè)個(gè)跳板連接起來。制作跳板方法(1)手工制作跳板方法(2)采用網(wǎng)絡(luò)代理跳板常用的網(wǎng)絡(luò)代理跳板工具很多，這里介紹一種比較常用而且功能比較強(qiáng)大的代理工具：Snake代理跳板。Snake的代理跳板，支持TCP/UDP代理，支持多個(gè)（最多達(dá)到255）跳板。程序文件為：SkSockServer.exe，代理方式為Sock5，并自動(dòng)打開默認(rèn)端口1813.監(jiān)聽。制作跳板方法(2)采用網(wǎng)絡(luò)代理跳板使用Snake代理跳板使用Snake代理跳板需要首先在每一級(jí)跳板主機(jī)上安裝Snake代理服務(wù)器。程序文件是SkSockServer.exe，將該文件拷貝到目標(biāo)主機(jī)上。一般首先將本地計(jì)算機(jī)設(shè)置為一級(jí)代理，將文件拷貝到C盤根目錄下，然后將代理服務(wù)安裝到主機(jī)上。安裝需要四個(gè)步驟，使用Snake代理跳板使用Snake代理跳板需要首先在每一查看開放的1122端口第一步執(zhí)行“sksockserver-install”將代理服務(wù)安裝主機(jī)中第二步執(zhí)行“sksockserver-configport1122”將代理服務(wù)的端口設(shè)置為1122，當(dāng)然可以設(shè)置為其他的數(shù)值，第三步執(zhí)行“sksockserver-configstarttype2”將該服務(wù)的啟動(dòng)方式設(shè)置為自動(dòng)啟動(dòng)。第四步執(zhí)行“netstartskserver”啟動(dòng)代理服務(wù)。設(shè)置完畢以后使用“netstat-an”命令查看1122端口是否開放查看開放的1122端口第一步執(zhí)行“sksockserver代理級(jí)別配置工具本地設(shè)置完畢以后，在網(wǎng)絡(luò)上其他的主機(jī)上設(shè)置二級(jí)代理，比如在IP為的主機(jī)上也設(shè)置和本機(jī)同樣的代理配置。使用本地代理配置工具：SkServerGUI.exe，該配置工具的主界面如圖所示。代理級(jí)別配置工具本地設(shè)置完畢以后，在網(wǎng)絡(luò)上其他的主機(jī)上設(shè)置設(shè)置經(jīng)過的代理服務(wù)器選擇主菜單“配置”下的菜單項(xiàng)“經(jīng)過的SKServer”，在出現(xiàn)的對(duì)話框中設(shè)置代理的順序，第一級(jí)代理是本地的1122端口，IP地址是，第二級(jí)代理是，端口是1122端口，注意將復(fù)選框“允許”選中，如圖所示。設(shè)置經(jīng)過的代理服務(wù)器選擇主菜單“配置”下的菜單項(xiàng)“經(jīng)過的S設(shè)置可以訪問代理的客戶端設(shè)置可以訪問該代理的客戶端，選擇主菜單“配置”下的菜單項(xiàng)“客戶端”，這里只允許本地訪問該代理服務(wù)，所以將IP地址設(shè)置為，子網(wǎng)掩碼設(shè)置為“55”，并將復(fù)選框“允許”選中。。設(shè)置可以訪問代理的客戶端設(shè)置可以訪問該代理的客戶端，選擇主啟動(dòng)代理跳板一個(gè)二級(jí)代理設(shè)置完畢，選擇菜單欄“命令”下的菜單項(xiàng)“開始”，啟動(dòng)該代理跳板。該程序啟動(dòng)以后監(jiān)聽的端口是“1913”。啟動(dòng)代理跳板一個(gè)二級(jí)代理設(shè)置完畢，選擇菜單欄“命令”下的菜安裝程序和漢化補(bǔ)丁下面需要安裝代理的客戶端程序，該程序包含兩個(gè)程序，一個(gè)是安裝程序，一個(gè)漢化補(bǔ)丁，如果不安裝補(bǔ)丁程序?qū)⒉荒苁褂?。安裝程序和漢化補(bǔ)丁下面需要安裝代理的客戶端程序，該程序包含設(shè)置Socks代理首先安裝sc32r231.exe，再安裝補(bǔ)丁程序HBC-SC32231-Ronnier.exe，然后執(zhí)行該程序，首先出現(xiàn)設(shè)置窗口如圖所示。設(shè)置Socks代理首先安裝sc32r231.exe，再安裝代理客戶端的主界面設(shè)置Socks代理服務(wù)器為本地IP地址，端口設(shè)置為跳板的監(jiān)聽端口“1913”，選擇Socks版本5作為代理。設(shè)置完畢后，點(diǎn)擊按鈕“確定”，主界面如圖所示。代理客戶端的主界面設(shè)置Socks代理服務(wù)器為本地IP地址1設(shè)置需要代理的應(yīng)用程序添加需要代理的應(yīng)用程序，點(diǎn)擊工具欄圖標(biāo)“新建”，比如現(xiàn)在添加InternetExplore添加進(jìn)來，設(shè)置需要代理的應(yīng)用程序添加需要代理的應(yīng)用程序，點(diǎn)擊工具欄圖設(shè)置完畢以后，IE的圖標(biāo)就在列表中了，選中IE圖標(biāo)，然后點(diǎn)擊工具欄圖標(biāo)“運(yùn)行”，設(shè)置完畢以后，IE的圖標(biāo)就在列表中了，選中IE圖標(biāo)，然后點(diǎn)擊網(wǎng)絡(luò)后門網(wǎng)絡(luò)后門是保持對(duì)目標(biāo)主機(jī)長(zhǎng)久控制的關(guān)鍵策略?？梢酝ㄟ^建立服務(wù)端口和克隆管理員帳號(hào)來實(shí)現(xiàn)。留后門的藝術(shù)只要能不通過正常登錄進(jìn)入系統(tǒng)的途徑都稱之為網(wǎng)絡(luò)后門。后門的好壞取決于被管理員發(fā)現(xiàn)的概率。只要是不容易被發(fā)現(xiàn)的后門都是好后門。留后門的原理和選間諜是一樣的，讓管理員看了感覺沒有任何特別的。網(wǎng)絡(luò)后門網(wǎng)絡(luò)后門是保持對(duì)目標(biāo)主機(jī)長(zhǎng)久控制的關(guān)鍵策略?？梢酝ㄓ涗浌芾韱T口令修改過程當(dāng)入侵到對(duì)方主機(jī)并得到管理員口令以后，就可以對(duì)主機(jī)進(jìn)行長(zhǎng)久入侵了，但是一個(gè)好的管理員一般每隔半個(gè)月左右就會(huì)修改一次密碼，這樣已經(jīng)得到的密碼就不起作用了。利用工具軟件Win2kPass.exe記錄修改的新密碼，該軟件將密碼記錄在Winnt\temp目錄下的Config.ini文件中，有時(shí)候文件名可能不是Config，但是擴(kuò)展名一定是ini，該工具軟件是有“自殺”的功能，就是當(dāng)執(zhí)行完畢后，自動(dòng)刪除自己。記錄管理員口令修改過程當(dāng)入侵到對(duì)方主機(jī)并得到管理員口令以后，記錄管理員口令修改過程首先在對(duì)方操作系統(tǒng)中執(zhí)行Win2KPass.exe文件，當(dāng)對(duì)方主機(jī)管理員密碼修改并重啟計(jì)算機(jī)以后，就在Winnt\temp目錄下產(chǎn)生一個(gè)ini文件。記錄管理員口令修改過程首先在對(duì)方操作系統(tǒng)中執(zhí)行Win2KPa建立Web服務(wù)和Telnet服務(wù)

使用工具軟件wnc.exe可以在對(duì)方的主機(jī)上開啟兩個(gè)服務(wù)：Web服務(wù)和Telnet服務(wù)。其中Web服務(wù)的端口是808，Telnet服務(wù)的端口是707。執(zhí)行很簡(jiǎn)單，只要在對(duì)方的命令行下執(zhí)行一下wnc.exe就可以。建立Web服務(wù)和Telnet服務(wù)使用工具軟件wnc.exe測(cè)試Web服務(wù)說明服務(wù)端口開啟成功，可以連接該目標(biāo)主機(jī)提供的這兩個(gè)服務(wù)了。首先測(cè)試Web服務(wù)808端口，在瀏覽器地址欄中輸入“:808”，出現(xiàn)主機(jī)的盤符列表。測(cè)試Web服務(wù)說明服務(wù)端口開啟成功，可以連接該目標(biāo)主機(jī)提供看密碼修改記錄文件可以下載對(duì)方硬盤的任意文件（對(duì)于漢字文件名的文件下載有問題），可以到Winnt/temp目錄下查看對(duì)方密碼修改記錄文件。看密碼修改記錄文件可以下載對(duì)方硬盤的任意文件（對(duì)于漢字文件利用telnet命令連接707端口可以利用“telnet09707”命令登錄到對(duì)方的命令行。利用telnet命令連接707端口可以利用“telnet登錄到對(duì)方的命令行不用任何的用戶名和密碼就可以登錄對(duì)對(duì)方主機(jī)的命令行。登錄到對(duì)方的命令行不用任何的用戶名和密碼就可以登錄對(duì)對(duì)方主自啟動(dòng)程序通過707端口也可以方便的獲得對(duì)方的管理員權(quán)限。wnc.exe的功能強(qiáng)大，但是該程序不能自動(dòng)加載執(zhí)行，需要將該文件加到自啟動(dòng)程序列表中。一般將wnc.exe文件放到對(duì)方的winnt目錄或者winnt/system32目下，這兩個(gè)目錄是系統(tǒng)環(huán)境目錄，執(zhí)行這兩個(gè)目錄下的文件不需要給出具體的路徑。自啟動(dòng)程序通過707端口也可以方便的獲得對(duì)方的管理員權(quán)限。將wnc.exe加到自啟動(dòng)列表首先將wnc.exe和reg.exe文件拷貝對(duì)方的winnt目錄下，利用reg.exe文件將wnc.exe加載到注冊(cè)表的自啟動(dòng)項(xiàng)目中，命令的格式為：“reg.exeaddHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run/vservice/dwnc.exe”執(zhí)行過程如圖所示。將wnc.exe加到自啟動(dòng)列表首先將wnc.exe和reg修改后的注冊(cè)表如果可以進(jìn)入對(duì)方主機(jī)的圖形界面，可以查看一下對(duì)方的注冊(cè)表的自啟動(dòng)項(xiàng)，已經(jīng)被修改，修改后的注冊(cè)表如果可以進(jìn)入對(duì)方主機(jī)的圖形界面，可以查看一下讓禁用的Guest具有管理權(quán)限

操作系統(tǒng)所有的用戶信息都保存在注冊(cè)表中，但是如果直接使用“regedit”命令打開注冊(cè)表，該鍵值是隱藏的。讓禁用的Guest具有管理權(quán)限操作系統(tǒng)所有的用戶信息都保存查看winlogon.exe的進(jìn)程號(hào)可以利用工具軟件psu.exe提升regedit權(quán)限，得到該鍵值的查看和編輯權(quán)。將psu.exe拷貝對(duì)方主機(jī)，并在任務(wù)管理器查看對(duì)方主機(jī)winlogon.exe進(jìn)程的ID號(hào)或者使用pulist.exe文件查看該進(jìn)程的ID號(hào).查看winlogon.exe的進(jìn)程號(hào)可以利用工具軟件psu執(zhí)行命令該進(jìn)程號(hào)為192，下面執(zhí)行命令“psu-pregedit-ipid”其中pid為Winlogon.exe的進(jìn)程號(hào)。執(zhí)行命令該進(jìn)程號(hào)為192，下面執(zhí)行命令“psu-pre查看SAM鍵值在執(zhí)行該命令的時(shí)候必須將注冊(cè)表關(guān)閉，執(zhí)行完命令以后，自動(dòng)打開了注冊(cè)表編輯器，查看SAM下的鍵值。查看SAM鍵值在執(zhí)行該命令的時(shí)候必須將注冊(cè)表關(guān)閉，執(zhí)行完命查看帳戶對(duì)應(yīng)的鍵值查看Administrator和guest默認(rèn)的鍵值，在Windows2000操作系統(tǒng)上，Administrator一般為0x1f4，guest一般為0x1f5。查看帳戶對(duì)應(yīng)的鍵值查看Administrator和gues帳戶配置信息根據(jù)“0x1f4”和“0x1f5”找到Administrator和guest帳戶的配置信息。帳戶配置信息根據(jù)“0x1f4”和“0x1f5”找到Admi拷貝管理員配置信息F鍵值中保存了帳戶的密碼信息，雙擊“000001F4”目錄下鍵值“F”，可以看到該鍵值的二進(jìn)制信息，將這些二進(jìn)制信息全選，并拷貝到出來?？截惞芾韱T配置信息F鍵值中保存了帳戶的密碼信息，雙擊“00覆蓋Guest用戶的配置信息將拷貝出來的信息全部覆蓋到“000001F5”目錄下的“F”鍵值中。覆蓋Guest用戶的配置信息將拷貝出來的信息全部覆蓋到“0保存鍵值Guest帳戶已經(jīng)具有管理員權(quán)限了。為了能夠使Guest帳戶在禁用的狀態(tài)登錄，下一步將Guest帳戶信息導(dǎo)出注冊(cè)表。選擇User目錄，然后選擇菜單欄“注冊(cè)表”下的菜單項(xiàng)“導(dǎo)出注冊(cè)表文件”，將該鍵值保存為一個(gè)配置文件。保存鍵值Guest帳戶已經(jīng)具有管理員權(quán)限了。為了能夠使Gu刪除Guest帳戶信息打開計(jì)算機(jī)管理對(duì)話框，并分別刪除Guest和“00001F5”兩個(gè)目錄刪除Guest帳戶信息打開計(jì)算機(jī)管理對(duì)話框，并分別刪除Gu刷新用戶列表這個(gè)刷新對(duì)方主機(jī)的用戶列表，會(huì)出現(xiàn)用戶找不到的對(duì)話框,然后再將剛才導(dǎo)出的信息文件，再導(dǎo)入注冊(cè)表。再刷新用戶列表就不在出現(xiàn)該對(duì)話框了。刷新用戶列表這個(gè)刷新對(duì)方主機(jī)的用戶列表，會(huì)出現(xiàn)用戶找不到的修改Guest帳戶的屬性下面在對(duì)方主機(jī)的命令行下修改Guest的用戶屬性，注意：一定要在命令行下。首先修改Guest帳戶的密碼，比如這里改成“123456”，并將Guest帳戶開啟和停止。修改Guest帳戶的屬性下面在對(duì)方主機(jī)的命令行下修改Gue查看guest帳戶屬性再查看一下計(jì)算機(jī)管理窗口中的Guest帳戶，發(fā)現(xiàn)該帳戶使禁用的。查看guest帳戶屬性再查看一下計(jì)算機(jī)管理窗口中的Gues連接終端服務(wù)的軟件終端服務(wù)是Windows操作系統(tǒng)自帶的，可以遠(yuǎn)程通過圖形界面操縱服務(wù)器。在默認(rèn)的情況下終端服務(wù)的端口號(hào)是3389?？梢栽谙到y(tǒng)服務(wù)中查看終端服務(wù)是否啟動(dòng)連接終端服務(wù)的軟件終端服務(wù)是Windows操作系統(tǒng)自帶的，查看終端服務(wù)的端口服務(wù)默認(rèn)的端口是3389，可以利用命令“netstat-an”來查看該端口是否開放。查看終端服務(wù)的端口服務(wù)默認(rèn)的端口是3389，可以利用命令“連接到終端服務(wù)管理員為了遠(yuǎn)程操作方便，服務(wù)器上的該服務(wù)一般都是開啟的。這就給黑客們提供一條可以遠(yuǎn)程圖形化操作主機(jī)的途徑。利用該服務(wù)，目前常用的有三種方法連接到對(duì)方主機(jī)：1、使用Windows2000的遠(yuǎn)程桌面連接工具。2、使用WindowsXP的遠(yuǎn)程桌面連接工具。3、使用基于瀏覽器方式的連接工具。連接到終端服務(wù)管理員為了遠(yuǎn)程操作方便，服務(wù)器上的該服務(wù)一般連接到終端服務(wù)第一種方法利用Windows2000自帶的終端服務(wù)工具：mstsc.exe。該工具中只要設(shè)置要連接主機(jī)的IP地址和連接桌面的分辨率就可以。連接到終端服務(wù)第一種方法利用Windows2000自帶的終端服務(wù)如果目標(biāo)主機(jī)的終端服務(wù)是啟動(dòng)的，可以直接登錄到對(duì)方的桌面，在登錄框輸入用戶名和密碼就可以在圖形化界面種操縱對(duì)方主機(jī)了。終端服務(wù)如果目標(biāo)主機(jī)的終端服務(wù)是啟動(dòng)的，可以直接登錄到對(duì)方的Web方式連接第二種方法是使用Web方式連接，該工具包含幾個(gè)文件，需要將這些文件配置到IIS的站點(diǎn)中去，程序列表如圖。Web方式連接第二種方法是使用Web方式連接，該工具包含幾個(gè)配置Web站點(diǎn)將這些文件設(shè)置到本地IIS默認(rèn)Web站點(diǎn)的根目錄。配置Web站點(diǎn)將這些文件設(shè)置到本地IIS默認(rèn)Web站點(diǎn)的根在瀏覽器中連接終端服務(wù)然后在瀏覽器中輸入“”打開連接程序。在瀏覽器中連接終端服務(wù)然后在瀏覽器中輸入“http://1瀏覽器中的終端服務(wù)登錄界面在服務(wù)器地址文本框中輸入對(duì)方的IP地址，再選擇連接窗口的分辨率，點(diǎn)擊按鈕“連接”連接到對(duì)方的桌面。瀏覽器中的終端服務(wù)登錄界面在服務(wù)器地址文本框中輸入對(duì)方的I木馬木馬是一種可以駐留在對(duì)方系統(tǒng)中的一種程序。木馬一般由兩部分組成：服務(wù)器端和客戶端。駐留在對(duì)方服務(wù)器的稱之為木馬的服務(wù)器端，遠(yuǎn)程的可以連到木馬服務(wù)器的程序稱之為客戶端。木馬的功能是通過客戶端可以操縱服務(wù)器，進(jìn)而操縱對(duì)方的主機(jī)。木馬木馬是一種可以駐留在對(duì)方系統(tǒng)中的一種程序。木馬木馬來自于“特洛伊木馬”，英文名稱為TrojanHorse。傳說希臘人圍攻特洛伊城，久久不能攻克，后來軍師想出了一個(gè)特洛伊木馬計(jì)，讓士兵藏在巨大的特洛伊木馬中部隊(duì)假裝撤退而將特洛伊木馬丟棄在特洛伊城下，讓敵人將其作為戰(zhàn)利品拖入城中，到了夜里，特洛伊木馬內(nèi)的士兵便趁著夜里敵人慶祝勝利、放松警惕的時(shí)候從特洛伊木馬里悄悄地爬出來，與城外的部隊(duì)里應(yīng)外合攻下了特洛伊城。由于特洛伊木馬程序的功能和此類似，故而得名。木馬木馬來自于“特洛伊木馬”，英文名稱為TrojanHor木馬的發(fā)展第一代木馬功能簡(jiǎn)單，主要對(duì)付Unix系統(tǒng)，Windows系統(tǒng)木馬不多，第二代木馬功能大大加強(qiáng)，幾乎有現(xiàn)在木馬的所有操作，國(guó)內(nèi)有代表性的是冰河木馬。第三代木馬繼續(xù)完善連接技術(shù)，增加木馬的穿透防火墻功能，出現(xiàn)了“反彈端口”技術(shù)，國(guó)內(nèi)有代表性的是“灰鴿子”。第四代增加了進(jìn)程隱藏技術(shù)，使系統(tǒng)更加難以發(fā)現(xiàn)木馬的存在與入侵的連接。木馬的發(fā)展第一代木馬功能簡(jiǎn)單，主要對(duì)付Unix系統(tǒng)，Wind木馬分類按對(duì)計(jì)算機(jī)的破壞方式分類遠(yuǎn)程訪問型木馬、密碼發(fā)送型木馬、鍵盤記錄型木馬、FTP型木馬按傳輸方式分類主動(dòng)型木馬、反彈型木馬、嵌入式木馬。木馬分類按對(duì)計(jì)算機(jī)的破壞方式分類木馬實(shí)現(xiàn)技術(shù)木馬連接方式1)傳統(tǒng)連接方式即C/S連接方式，在這種連接方式下，遠(yuǎn)程主機(jī)開放監(jiān)聽端口等待外部連接，成為服務(wù)端，當(dāng)入侵者需要與遠(yuǎn)程主機(jī)建立連接的時(shí)侯，就主動(dòng)發(fā)出連接請(qǐng)求，從而建立連接。客戶端遠(yuǎn)程主機(jī)發(fā)出建立連接請(qǐng)求客戶端遠(yuǎn)程主機(jī)建立連接木馬實(shí)現(xiàn)技術(shù)木馬連接方式客戶端遠(yuǎn)程主機(jī)發(fā)出建立連接請(qǐng)求客戶端2)反彈端口技術(shù)a)遠(yuǎn)程主機(jī)主動(dòng)尋找客戶端建立連接，客戶端開放端口等待連接客戶端遠(yuǎn)程主機(jī)發(fā)出建立連接請(qǐng)求客戶端遠(yuǎn)程主機(jī)建立連接2)反彈端口技術(shù)客戶端遠(yuǎn)程主機(jī)發(fā)出建立連接請(qǐng)求客戶端遠(yuǎn)程主機(jī)b)客戶端遠(yuǎn)程主機(jī)更新ip,port中間代理，保存客戶端ip,port客戶端遠(yuǎn)程主機(jī)獲取客戶端ip,port中間代理，保存客戶端ip,port客戶端遠(yuǎn)程主機(jī)發(fā)出建立連接請(qǐng)求客戶端遠(yuǎn)程主機(jī)建立連接第一步第二步第三步第四步b)客戶端遠(yuǎn)程主機(jī)更新ip,port中間代理，保存客戶端ip木馬實(shí)現(xiàn)技術(shù)自動(dòng)啟動(dòng)技術(shù)一般的方法是通過修改系統(tǒng)的注冊(cè)表的方法，在注冊(cè)表中的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run鍵值中加上要啟動(dòng)的程序的路徑。木馬實(shí)現(xiàn)技術(shù)自動(dòng)啟動(dòng)技術(shù)Windows系統(tǒng)自啟動(dòng)程序十大藏身之所Windows啟動(dòng)時(shí)通常會(huì)有一大堆程序自動(dòng)啟動(dòng)。不要以為管好了“開始→程序→啟動(dòng)”菜單就萬事大吉，實(shí)際上，讓W(xué)indows自動(dòng)啟動(dòng)程序的辦法很多，下面列出最重要的兩個(gè)文件夾和八個(gè)注冊(cè)鍵。一、當(dāng)前用戶專有的啟動(dòng)文件夾這是許多應(yīng)用軟件自動(dòng)啟動(dòng)的常用位置，Windows自動(dòng)啟動(dòng)放入該文件夾的所有快捷方式。用戶啟動(dòng)文件夾一般在：＼DocumentsandSettings＼<用戶名字>＼“開始”菜單＼程序＼啟動(dòng)，其中“<用戶名字>”是當(dāng)前登錄的用戶帳戶名稱。二、對(duì)所有用戶有效的啟動(dòng)文件夾這是尋找自動(dòng)啟動(dòng)程序的第二個(gè)重要位置，不管用戶用什么身份登錄系統(tǒng)，放入該文件夾的快捷方式總是自動(dòng)啟動(dòng)——這是它與用戶專有的啟動(dòng)文件夾的區(qū)別所在。該文件夾一般在：＼DocumentsandSettings＼AllUsers＼“開始”菜單＼程序＼啟動(dòng)。三、Load注冊(cè)鍵介紹該注冊(cè)鍵的資料不多，實(shí)際上它也能夠自動(dòng)啟動(dòng)程序。位置：HKEY_CURRENT_USER＼Software＼Microsoft＼WindowsNT＼CurrentVersion＼Windows＼load。

Windows系統(tǒng)自啟動(dòng)程序十大藏身之所Windows啟動(dòng)時(shí)四、Userinit注冊(cè)鍵位置：HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼WindowsNT＼CurrentVersion＼Winlogon＼Userinit。這里也能夠使系統(tǒng)啟動(dòng)時(shí)自動(dòng)初始化程序。通常該注冊(cè)鍵下面有一個(gè)userinit.exe，如圖，但這個(gè)鍵允許指定用逗號(hào)分隔的多個(gè)程序，例如“userinit.exe,OSA.exe”(不含引號(hào))。五、Explorer＼Run注冊(cè)鍵和load、Userinit不同，Explorer＼Run鍵在HKEY_CURRENT_USER和HKEY_LOCAL_MACHINE下都有，具體位置是：HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Policies＼Explorer＼Run，和HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼Policies＼Explorer＼Run。四、Userinit注冊(cè)鍵六、RunServicesOnce注冊(cè)鍵

RunServicesOnce注冊(cè)鍵用來啟動(dòng)服務(wù)程序，啟動(dòng)時(shí)間在用戶登錄之前，而且先于其他通過注冊(cè)鍵啟動(dòng)的程序。RunServicesOnce注冊(cè)鍵的位置是：HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼RunServicesOnce，和HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼RunServicesOnce。七、RunServices注冊(cè)鍵

RunServices注冊(cè)鍵指定的程序緊接RunServicesOnce指定的程序之后運(yùn)行，但兩者都在用戶登錄之前。RunServices的位置是：HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼RunServices，和HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼RunServices。八、RunOnce＼Setup注冊(cè)鍵

RunOnce＼Setup指定了用戶登錄之后運(yùn)行的程序，它的位置是：HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼RunOnce＼Setup，和HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼RunOnce＼Setup。六、RunServicesOnce注冊(cè)鍵九、RunOnce注冊(cè)鍵安裝程序通常用RunOnce鍵自動(dòng)運(yùn)行程序，它的位置在HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼RunOnce和HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼RunOnce。HKEY_LOCAL_MACHINE下面的RunOnce鍵會(huì)在用戶登錄之后立即運(yùn)行程序，運(yùn)行時(shí)機(jī)在其他Run鍵指定的程序之前。HKEY_CURRENT_USER下面的RunOnce鍵在操作系統(tǒng)處理其他Run鍵以及“啟動(dòng)”文件夾的內(nèi)容之后運(yùn)行。如果是XP，你還需要檢查一下HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼RunOnceEx。十、Run注冊(cè)鍵

Run是自動(dòng)運(yùn)行程序最常用的注冊(cè)鍵，位置在：HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Run，和HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼Curr