幾扇鮮為人知的Windows XP自動運行後門

來源:互聯網
上載者:User
大家都知道,任何木馬要在系統中自動啟用生效,都必須通過一定的手段載入到記憶體中運行才可。目前,各種媒體的相關防範技術介紹、各種木馬相關的安全工具軟體,在尋找木馬的自動載入途徑上,無非都是通過對常見的一些自動運行項目加以檢查和監測,從而發現木馬的蛛絲馬跡,而實際當中,各種木馬程式的自動載入也基本上不會超出大家熟知的那些自動運行方式。但事實上,Windows XP的後門遠非幾個補丁所能夠解決得了的,以下是筆者新發現的、可能被未來的木馬或病毒所利用的幾扇後門,以及針對這些危險後門的安全防範措施。

一、危險後門介紹

  以下是幾種不太被人注意和重視的潛在危險後門介紹,其危險層級一個比一個要高。對於其安全防範,由於一些後門的防範措施具有共同性,因此後文統一說明。

1.Windows Load
危險程度:★★★★☆
危險描述:該自動運行項目繞過了大家熟知的Run相關的索引值進行程式的自動載入,能夠逃過大多數安全程式的檢查,絕大多數媒體上也沒有公開介紹,因此風險很大。
後門分析:
在註冊表的以下子項位置:
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
這個註冊表鍵項是為了保持與舊的Win.ini設定檔的相容而設定的,可支援多個自動載入的值項。
該處支援一個“load”的字串值,其索引值可以是各種可執行檔,比如“C:\Windows\notepad.exe”等。惡意程式完全可以利用這個索引值實現自動載入(圖1)。

2.Windows Run
危險程度:★★★★☆
危險描述:與上述相似,該自動運行項目也是繞過大家熟知的Run相關的索引值進行程式的自動載入,能夠逃過大多數安全程式的檢查,風險很大。
後門分析:
同樣,在註冊表的以下子項位置:
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
該處支援一個“Run”的字串值,其索引值可以是各種可執行檔,比如“C:\Windows\notepad.exe”等。惡意程式完全可以利用這個索引值實現自動載入(參見圖1)。

3.特殊的16位可執行檔類型
危險程度:★★★★☆
危險描述:惡意程式充分利用這個後門可以逃避多種殺毒軟體對常見敏感檔案類型的快速掃描。木馬或病毒可建立特殊的檔案類型,並利用這個後門進行註冊,就可以命令列的方
式實話各種破壞。
後門分析:
仍然在註冊表的[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]位置下,名稱為“Program”的字串索引值,其中預設的內容為“com exe bat pif cmd”,這是常見的16位可執行程式的檔案類型(其中pif不能算是完全的可執行檔,但我們一併考察)。如果惡意程式修改此處的索引值,比如添加一個“tst”的檔案類型,再將惡意程式的副檔名改為.tst,則從命令列執行這個程式是沒有任何問題的!不信你可以在此添加一個tst類型,然後複製一個notepad.exe並改名為notepad.tst,再在命令列下執行notepad.tst,是不是記事本被開啟了?!

4.Windows Shell
危險程度:★★★★★
危險描述:這是一個最容易被惡意利用的後門!如果木馬或病毒對該自動載入程式的索引值進行了修改,除非有經驗的進階使用者,一般人不容易發現。
後門分析:
在註冊表的以下位置:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
該處有一個名為“Shell”的字串值項,Windows在安裝時就已經將其預設索引值設定為“Explorer.exe”。Explorer.exe這個程式是Windows的預設外殼(Shell)程式,它可以使我們啟動系統後進入一個大家熟悉的案頭介面。這個Explorer.exe檔案的位置在Windows目錄,由於系統已經在環境變數中將C:\Windows、C:\Windows\System等系統目錄納入到了其預設的搜尋路徑中(系統內定的程式搜尋路徑為%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem,註冊表中的位置為[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\Environment]下面的Path索引值),因此上述索引值中只需直接給出“Explorer.exe”的程式檔案名稱即可,而這也恰恰是其危險的地方!
假如一個木馬程式將其自身也命名為“Explorer.exe”,並將自己複製到Windows\System32目錄,然後再將上述註冊表中“Shell”字串值項的索引值修改為“C:\Windows\System32\Explorer.exe explorer.exe”,則此時作為木馬的C:\Windows\System32\Explorer.exe這個程式將在載入系統外殼時先被執行,而真正的系統外殼程式C:\Windows\Explorer.exe卻只能作為木馬程式的參數被隨後載入!
當然,專門針對這個危險後門的木馬完全可以在程式內部就設定好載入真正的系統外殼程式explorer,exe的相關調用,這樣修改上述註冊表索引值時,只需將預設的“Explorer.exe”改為“C:\Windows\System32\Explorer.exe”(此為絕對路徑)或“%SystemRoot%\system32\Explorer.exe”(引用環境變數)即可。此時即使萬一使用者跟蹤到了它的位置而試圖將這個索引值刪除,則Windows因丟失了載入系統外殼的命令,將導致無法引導到案頭的故障,從而給普通使用者帶來更大的麻煩!
如果進一步分析,我們還會發現:Windows XP系統預設的搜尋路徑的順序是“%SystemRoot%\system32;%SystemRoot%”,也就是說,Windows\System32目錄的搜尋優先順序大於Windows目錄,這樣一來,木馬程式甚至連這個註冊表索引值都不須作任何修改,只需將名稱為explorer.exe的木馬程式植入Windows\System32目錄就可以了(圖2)!

 

5.BootExecute
危險程度:★★★★★
危險描述:這也是一個很容易被惡意利用的後門!如果木馬或病毒對該自動載入程式的索引值進行了修改,除非有經驗的進階使用者,一般人絕難發現。
後門分析:
危險後門的註冊表位置如下:
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager]
在這個註冊表值項下面,預設會存在一個“BootExecute”的多字串值項,其預設的索引值為“autocheck autochk *”,用於系統啟動時的某些自動檢查。有些應用程式在安裝時也可能會在此放入其自身的自動運行項目,如著名的磁碟磁碟重組軟體Perfect Disk就會在這裡添加一個“PDBoot.exe”的字串,以實現系統引導初期自動對磁碟的特殊地區進行磁碟重組。
多字串值的格式是每條命令列作為單獨的一行,。
可想而知,如果木馬或病毒植入一個惡意程式到系統中後,再在此處添加自動載入的命令列,結果會如何?
更為嚴重的是,即使是目前國際上都很知名的幾大殺毒軟體,其自動載入也都是在Windows XP載入完畢、開始進入32位元影像形介面的過程中逐步自動載入到記憶體中的,也就是說殺毒軟體載入的優先順序要比上述這個註冊表“BootExecute”值項中的程式的載入優先順序低,因此採用這種方式感染系統其隱蔽性和危害性將更大!

6.PendingFileRenameOperations
危險程度:★★★★★
危險描述:這是一個可被惡意程式利用但利用稍有麻煩的後門。“PendingFileRenameOperations”的中文含義是“未決的檔案改名操作”。大家一定遇到過安裝某些應用程式時,安裝程式在執行結束後會要求重新啟動電腦,以便實現對正在使用或鎖定的相關檔案的替換和服務的載入等。其實,安裝程式在下次啟動時的操作命令一般是不會寫入大家常見的Run相關的註冊表索引值中的,而是通過“PendingFileRenameOperations”這條特殊的註冊表自動附加元件目來完成。
後門分析:
危險後門的註冊表位置如下:
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager]
這下面支援一種名為“PendingFileRenameOperations”的註冊表值項(圖4),但該值項並不是任何時候都存在的,一般由軟體的安裝程式自動產生,當然也可通過其他途徑植入。
如果木馬或病毒要想做得更加隱蔽,完全可以在感染系統時臨時使用一個極其罕見的檔案名稱和副檔名,以逃避一些殺毒軟體對常見敏感檔案類型的掃描,然後通過“PendingFileR enameOperations”索引值實現自身的檔案改名,再配合前面所述的其他自動附加元件目實現自動載入,就可露出惡意程式本來的猙獰面目!

二、危險後門的安全防範

1.修改系統預設的外殼(Shell)載入參數
如前所述,系統的外殼預設為“Explorer.exe”,這是極其危險的,要防範也很簡單,在登錄編輯程式中找到以下位置:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
將下面的“Shell”的索引值修改為系統外殼程式的絕對路徑,比如“C:\WINDOWS\Explorer.exe”。這樣由於Windows XP本身的系統檔案保護機制,這個檔案一般是不容易被替換和修改的,從而避免了木馬程式在System32目錄中植入同名的Explorer.exe檔案帶來的危險。

2.合理設定殺毒軟體的掃描選項
殺毒軟體對系統的掃描可以有多種方式,為提高掃描速度和降低對系統資源的佔用率,不少殺毒軟體預設採取的是智能掃描(或稱快速掃描等,不同產品說法不一),也即只掃描常見的易被病毒感染的檔案類型,這就為惡意程式利用上述各種後門留下了隱患。因此,如果機器的配置允許,或者要對安全要求較高的場合,應當手工修改殺毒軟體的掃描選項,讓它對所有類型的檔案進行掃描和監視,從而發現那些狡猾的入侵者(圖5)。

3.巧妙利用註冊表使用權限設定增強安全性
前述的Windows Load、Run、Program等索引值的危險性,由於許多安全工具並不對這些項目進行監視和檢查,因此這裡是一個高危地帶。由於[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]這個鍵項主要用於與舊的Win.ini相容,因此絕大多數情況下普通使用者是用不上這裡的索引值內容的,我們可以通過設定註冊表許可權來增強安全性,防止這裡的內容被惡意地隨便修改。
在登錄編輯程式中找到上述鍵項,右擊滑鼠,選擇捷徑功能表中的“許可權”命令(圖6),在隨後的對話方塊中,分別選擇所有的使用者,並一一在使用權限設定中選中“拒絕”即可。
圖6 設定註冊表許可權

4.其他安全措施
知道了上述各種危險後門的位置,我們就可以根據自己的水平能力和操作的方便性採取更多的防範措施,比如有編程能力者可以編寫專門的程式對這些高危索引值進行監視和自動回復;一般使用者可在系統正常時匯出上述相關位置的註冊表並儲存為備份檔案,以便須要時匯入恢複;也可將上述註冊表鍵項一一開啟後,點擊“收藏夾”菜單將它們收藏,日後必要時快速進入這些位置手工檢查等。因牽涉的內容較多較雜,此不贅述。

相關文章

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。

A Free Trial That Lets You Build Big!

Start building with 50+ products and up to 12 months usage for Elastic Compute Service

  • Sales Support

    1 on 1 presale consultation

  • After-Sales Support

    24/7 Technical Support 6 Free Tickets per Quarter Faster Response

  • Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.