一般的木馬運(yùn)行添加自啟動(dòng)就會(huì)被殺毒軟件的主動(dòng)防御或者360攔截,前幾天在網(wǎng)上發(fā)現(xiàn)了幾個(gè)注冊(cè)表自啟動(dòng)的方法,效果還不錯(cuò),也算是目前主動(dòng)防御的一大死角了,連微點(diǎn)竟然也攔截不到。
　　1.cmd運(yùn)行前執(zhí)行的程序(被動(dòng)啟動(dòng))

HKEY_CURRENT_USERSoftwareMicrosoftCommand Processor
AutoRun REG_SZ "xxx.exe"
　　2.session manager(自啟動(dòng))

HKEY_LOCAL_MACHINESYSTEMControlSet001ControlSession Manager
HKEY_LOCAL_MACHINESYSTEMControlSet002ControlSession Manager
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession Manager
BootExecute REG_MULIT_SZ "autocheck autochk * xxx"
　　瑞星就來了一個(gè)bsmain，用來開機(jī)查毒

　　不過xxx.exe必須用Native API，不能用Win32API

　　3.屏幕保護(hù)程序(被動(dòng)啟動(dòng))

HKEY_USERS.DEFAULTControl PanelDesktop
SCRNSAVE.EXE REG_SZ "xxx.scr"
　　其實(shí)屏幕保護(hù)程序scr文件就是PE文件

　　4.

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpolicies
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesRun
MSCONFIG"="%SystemRoot%xxx.exe"
　　——還有很多注冊(cè)表項(xiàng)更改后,可以實(shí)現(xiàn)自啟動(dòng),這里先寫這幾個(gè),其他的去要測(cè)試.

　　另外,還有一個(gè)偷換控制面板文件來被動(dòng)啟動(dòng)的方式，控制面板文件在C:windowssystem32下的.cpl文件,這個(gè)文件類似與dll文件.方法給大家了,至于怎么利用,大家就各顯神通吧!

總結(jié)

以上是生活随笔為你收集整理的过主动防御的有效方法的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。