木马是怎样启动的?求答案
木马是怎样启动的?求答案
正因为该项技术如此重要,所以,很多程式设计人员都在不停地研究和探索新的自启动技术,并且时常有新的发现。一个典型的例子就是把木马加入到使用者经常执行的程式 (例如explorer.exe)中,使用者执行该程式时,则木马自动发生作用。当然,更加普遍的方法是通过修改Windows系统档案和登录档达到目的,现经常用的方法主要有以下几种:
1.在Win.ini中启动
在Win.ini的[windows]栏位中有启动命令load=和run=,在一般情况下 =后面是空白的,如果有后跟程式,比方说是这个样子:
run=c:\windows\file.exe
load=c:\windows\file.exe
要小心了,这个file.exe很可能是木马哦。
2.在System.ini中启动
System.ini位于Windows的安装目录下,其[boot]栏位的shell=Explorer.exe是木马喜欢的隐藏载入之所,木马通常的做法是将该何变为这样:shell=Explorer.exefile.exe。注意这里的file.exe就是木马服务端程式!
另外,在System.中的[386Enh]栏位,要注意检查在此段内的driver=路径\程式名这里也有可能被木马所利用。再有,在System.ini中的[mic]、[drivers]、[drivers32]这3个栏位,这些段也是起到载入驱动程式的作用,但也是增添木马程式的好场所,现在你该知道也要注意这里喽。
下面是一些典型的自启动键值:
如果你想让每执行一次EXE档案,都能自动执行木马,那么可以设定如下位置的键值
(1)ICQ自启动
[HKEY_CURRENT_USER\Sofare\Mirabilis\ICQ\Agent\Apps\]
当ICQ检测到网路连线时,会自动执行这个键下的程式。
(2)ActiveX部件
这些都是木马编写者们经常使用的方法。
4.在Autoexec.bat和Config.sys中载入执行
请大家注意,在C盘根目录下的这两个档案也可以启动木马。但这种载入方式一般都需要控制端使用者与服务端建立连线后,将己新增木马启动命令的同名档案上传到服务端覆盖这两个档案才行,而且采用这种方式不是很隐蔽。容易被发现,所以在Autoexec.bat和Confings中载入木马程式的并不多见,但也不能因此而掉以轻心哦。
5.在Winstart.bat中启动
Winstart.bat是一个特殊性丝毫不亚于Autoexec.bat的批处理档案,也是一个能自动被Windows载入执行的档案。它多数情况下为应用程式及Windows自动生成,在执行了Windows自动生成,在执行了Win.并加截了多数驱动程式之后开始执行 (这一点可通过启动时按F8键再选择逐步跟踪启动过程的启动方式可得知)。由于Autoexec.bat的功能可以由Witart.bat代替完成,因此木马完全可以像在Autoexec.bat中那样被载入执行,危险由此而来。
6.启动组木马们如果隐藏在启动组虽然不是十分隐蔽,但这里的确是自动载入执行的好场所,因此还是有木马喜欢在这里驻留的。启动组对应的资料夹为C:\Windows\start menu\programs\startup,在登录档中的位置:HKEY_CURRENT_USER\Sofare\Microsoft\windows\CurrentVersion\Explorer\shell
Folders Startup=c:\windows\start menu\programs\startup。要注意经常检查启动组哦!
7.*.INI即应用程式的启动配置档案,控制端利用这些档案能启动程式的特点,将制作好的带有木马启动命令的同名档案上传到服务端覆盖这同名档案,这样就可以达到启动木马的目的了。只启动一次的方式:在winint.ini.中(用于安装较多)。
8.修改档案关联
修改档案关联是木马们常用手段 (主要是国产木马,老外的木马大都没有这个功能),比方说正常情况下TXT档案的开启方式为Notepad.EXE档案,但一旦中了档案关联木马,则txt档案开启方式就会被修改为用木马程式开启,如著名的国产木马冰河就是这样干的. 冰河就是通过修改HKEY_CLASSES_ROOT\txtfile\whell\open\mand下的键值,将C:\WINDOWS\NOTEPAD.EXE本应用Notepad开启,如著名的国产HKEY一CLASSES一ROOT\txt闹e\shell\open\mandT的键值,将 C:\WINDOWS\NOTEPAD.EXE%l改为 C:\WINDOWS\SYSTEM\SYSEXPLR.EXE%l,这样,一旦你双击一个TXT档案,原本应用Notepad开启该档案,现在却变成启动木马程式了,好狠毒哦!请大家注意,不仅仅是TXT档案,其他诸如HTM、EXE、ZIP.COM等都是木马的目标,要小心搂。对付这类木马,只能经常检查HKEY_CLASSES_ROOT\档案型别\shell\open\mand主键,检视其键值是否正常。
9.捆绑档案实现这种触发条件首先要控制端和服务端已通过木马建立连线,然后控制端使用者用工具软体将木马档案和某一应用程式捆绑在一起,然后上传到服务端覆盖原始档,这样即使木马被删除了,只要执行捆绑了木马的应用程式,木马义会安装上去。系结到某一应用程式中,如系结到系统档案,那么每一次Windows启动均会启动木马。
10.反弹埠型木马的主动连线方式
反弹埠型木马我们已经在前面说过了,由于它与一般的木马相反,其服务端 (被控制端)主动与客户端 (控制端)建立连线,并且监听埠一般开在80,所以如果没有合适的工具、丰富的经验真的很难防范。这类木马的典型代表就是网路神偷,目前最新版本为V2.5。由于这类木马仍然要在登录档中建立键值 (如我们在第三点中所讲的那样),因此只要留意登录档的变化就不难查到它们。
木马是如何启动的?
当不小心执行木马后,导致电脑感染后会新增自启动项
一般在登录档和配置里边做手脚
进入"开始"执行"msconfig"
弹出"系统配置实用程式"
在启动选项卡中,看看有没有陌生的启动项
如果不清楚,可以复制启动项的名子在百度搜索.看是不是木马之类的
另一种是"开始"执行"regedit"开启登录档,
查询"HKEY_LOCAL_MACHINE/sofare/microsoft/windows/currentversion/run和runonce下的键值.预设情况下数值未设定,看看有没有可疑专案,可疑的删除.
Apache是怎样启动的
和监控部门提到一个问题,开发部门的人启动Apache是使用root启动,但是监控部门的人认为不正常,用root启动有安全隐患。如果Apache有漏洞,伺服器就被黑了。 我在一台RHEL4上编译安装了Apache,用了全预设引数,使用下面命令启动 /usr/local/apache/bin/apachectl start 看系统里的情况 [root@localhost conf]# ps -ef | grep d | grep -v grep [root@localhost conf]# cat d.conf | grep daemon # d daemons, you will need to change at least LockFile and PidFile. User daemon Group daemon # socket used to municate with the CGI daemon of mod_cgid. 试下把daemon改成root看看 [root@localhost conf]# /usr/local/apache/bin/apachectl start Syntax error on line 65 of /usr/local/apache/conf/d.conf: Error:\tApache has not been designed to serve pages while\n\trunning as root. There are known race conditions that\n\ill allow any local user to read any file on the system.\n\tIf you still desire to serve pages as root then\n\tadd -DBIG_SECURITY_HOLE to the CFLAGS env variable\n\tand then rebuild the server.\n\tIt is strongly suggested that you instead modify the User\n\tdirective in your d.conf file to list a non-root\n\tuser.\n [root@localhost conf]# cat d.conf | grep root # d as root initially and it will switch. User rootGroup root可以看到,Apache根本不给你启动! 根据Apache的文件里这么描述 如果配置档案中Listen定义的是预设的80埠(或1024以下),那么启动Apache将需要root许可权以将它系结在特权埠上。一旦伺服器开始启动并完成了一些诸如开启日志档案之类的准备操作,它将建立很多子程序来完成一些诸如侦听和回应客户端请求的工作。 d主程序仍然以root使用者的许可权执行,而它的子程序将以一个较低许可权的使用者执行。这将由你选择的多路处理模组进行控制。 所以,用root启动Apache并不存在安全问题。非root使用者不能启动1024以下的埠,所以非root启动Apache不能启动80,443埠,到时候再用iptable做跳转就是很麻烦的事情,而且iptables效能也是问题。 像bind这样的程式使用的是chroot的方式来解决许可权控制问题,用root启动一样没有安全问题。 有些时候,这些想法都是人传人,大多数人不仔细想想,找找内因。
如果Apache有漏洞,伺服器就被黑了。
我在一台RHEL4上编译安装了Apache,用了全预设引数,使用下面命令启动
/usr/local/apache/bin/apachectl start
看系统里的情况
[root@localhost conf]# ps -ef | grep d | grep -v grep
[root@localhost conf]# cat d.conf | grep daemon
# d daemons, you will need to change at least LockFile and PidFile.
User daemon
Group daemon # socket used to municate with the CGI daemon of mod_cgid.
试下把daemon改成root看看
[root@localhost conf]# /usr/local/apache/bin/apachectl start
Syntax error on line 65 of /usr/local/apache/conf/d.conf:
Error:tApache has not been designed to serve pages whilentrunning as root. There are known race conditions thatnill allow any local user to read any file on the system.ntIf you still desire to serve pages as root thenntadd -DBIG_SECURITY_HOLE to the CFLAGS env variablentand then rebuild the server.ntIt is strongly suggested that you instead modify the Userntdirective in your d.conf file to list a non-rootntuser.n
[root@localhost conf]# cat d.conf | grep root
# d as root initially and it will switch.
User rootGroup root可以看到,Apache根本不给你启动!
根据Apache的文件里这么描述
如果配置档案中Listen定义的是预设的80埠(或1024以下),那么启动Apache将需要root许可权以将它系结在特权埠上。一旦伺服器开始启动并完成了一些诸如开启日志档案之类的准备操作,它将建立很多子程序来完成一些诸如侦听和回应客户端请求的工作。
d主程序仍然以root使用者的许可权执行,而它的子程序将以一个较低许可权的使用者执行。这将由你选择的多路处理模组进行控制。
所以,用root启动Apache并不存在安全问题。非root使用者不能启动1024以下的埠,所以非root启动Apache不能启动80,443埠,到时候再用iptable做跳转就是很麻烦的事情,而且iptables效能也是问题。
像bind这样的程式使用的是chroot的方式来解决许可权控制问题,用root启动一样没有安全问题。
有些时候原始码天空
,这些想法都是人传人,大多数人不仔细想想,找找内因。
汽车是怎样启动的?
1是靠马达启动
2汽油发动机将汽油的能量转化为动能来驱动汽车,最简单的办法是通过在发动机内部燃烧汽油来获得动能。因此,汽车发动机是内燃机----燃烧在发动机内部发生。
有两点需注意:
1. 内燃机也有其他种类,比如柴油机,燃气轮机,各有各的优点和缺点。
2. 同样也有外燃机。在早期的火车和轮船上用的蒸汽机就是典型的外燃机。燃料(煤、木头、油)在发动机外部燃烧产生蒸气,然后蒸气进入发动机内部来产生动力。内燃机的效率比外燃机高不少,也比相同动力的外燃机小很多。所以,现代汽车不用蒸汽机。
相比之下,内燃机比外燃机的效率高,比燃气轮机的价格便宜,比电动汽车容易新增燃料。这些优点使得大部分现代汽车都使用往复式的内燃机。
二、燃烧是关键
汽车的发动机一般都采用4冲程。(马自达的转子发动机在此不讨论,汽车画报曾做过介绍)
4冲程分别是:进气、压缩、燃烧、排气。完成这4个过程,发动机完成一个周期(2圈)。
理解4冲程
活塞,它由一个活塞杆和曲轴相联,过程如下:
1.活塞在顶部开始,进气阀开启,活塞往下运动,吸入油气混合气
2.活塞往顶部运动来压缩油气混合气,使得爆炸更有威力。
3.当活塞到达顶部时,火花塞放出火花来点燃油气混合气,爆炸使得活塞再次向下运动。
4.活塞到达底部,排气阀开启,活塞往上运动,尾气从汽缸由排气管排出。
注意:内燃机最终产生的运动是转动的,活塞的直线往复运动最终由曲轴转化为转动,这样才能驱动汽车轮胎。
三、汽缸数
发动机的核心部件是汽缸,活塞在汽缸内进行往复运动,上面所描述的是单汽缸的运动过程,而实际应用中的发动机都是有多个汽缸的(4缸、6缸、8缸比较常见)。我们通常通过汽缸的排列方式对发动机分类:直列、V或水平对置(当然现在还有大众集团的W型,实际上是两个V组成)。
不同的排列方式使得发动机在顺滑性、制造费用和外型上有着各自的优点和缺点,配备在相应的汽车上。
四、排量
混合气的压缩和燃烧在燃烧室里进行,活塞往复运动,你可以看到燃烧室容积的变化,最大值和最小值的差值就是排量,用升(L)或毫升(CC)来度量。汽车的排量一般在1.5L~4.0L之间。每缸排量0.5L,4缸的排量为2.0L,如果V型排列的6汽缸,那就是V6 3.0升。一般来说,排量表示发动机动力的大小。
影响因素
1.1 结构制造
汽车各零部件的设计制造和装配情况直接影响发动机的效能。这些因素主要来自于汽车生产厂家,与使用者无多大关系。各汽车生产厂家的特约维修站应当把发动机在使用中出现的一些典型问题反馈到制造厂,以利于改进。
1.2 使用
正确使用是延长发动机使用寿命的必备条件。
1.2.1 载荷的选择
发动机载荷直接影响其零部件的强度及寿命,增载入荷时,各总成的工作负荷也随之增加,磨损量增大;如果是初驶车辆,磨损会更大。新车或大修后的车辆,为了限制其初驶期的最高速度,减少负荷,延长发动机使用寿命,一般都在化油器上安装限速片。如果过早地拆除限速片,将导致发动机过早出现异响、漏油、漏气及动力下降,使发动机的使用周期缩短。
1.2.2 燃油和润滑油的选择
燃油的选用必须符合本车规定的牌号,禁止使用低牌号的燃油,否则发动机工作时会产生爆震,使机件受到强烈的冲击和使零部件的附载入荷增加,从而加速机件的磨损。因爆震产生的高温、高压及冲击波还会破坏气缸壁上的润滑油膜,恶化机件的润滑。试验表明,某发动机在有爆震和无爆震下各工作200 h,经测定有爆震时气缸上部平均磨损量是无爆震的2倍多。另外,含杂质超标的燃油,同样会加速机件的磨损和腐蚀。
润滑油的选择,亦应符合发动机的工作需要,若发动机润滑油粘度较低,则润滑油压力就低,不能形成油膜,造成边界摩擦或干摩擦;若润滑油粘度过大,则流动性差,不利于冷车起动,同时润滑油通过机油滤清器到达润滑部位的时间长,使起动磨损增大。
润滑油的加注应适量,油面过高时,不但会增加运动阻力,降低功率,而且会使润滑油窜入气缸内燃烧,造成积碳过多;而润滑油过少时,油压低,难以形成油膜,又会造成干摩擦或边界摩擦,使磨损增加,轴承产生异响,甚至发生拉缸及烧瓦等严重事故。
1.2.3 冷起动和冷却水温度
当冷车起动时,特别是冬季起动车辆,应尽量采用预热措施或冷摇慢转低速升温的办法,禁止猛轰油门。因为发动机冷起动时,润滑油粘度较高,其到达润滑部位的时间铣ぁS凶柿现っ鳎?谄?挛??5 ℃时,起动2 min后,润滑油才能流到连杆轴承及缸盖上的运动副等部位,在这一段时间内如猛踩油门,发动机转速就会迅速上升,润滑油未到达的部位形成干摩擦,加剧磨损。
当发动机温度过高时,润滑油变稀,不能很好的形成润滑油膜,同样会增大机件的磨损,还极易产生爆震。但也不可因水温高而盲目拆除节温器使发动机长期在低温下工作,这也会造成发动机过量磨损。
1.3 道 路
路面质量对车速的发挥、燃料的消耗及磨损有极大的影响,若路面是砂石或泥泞路时,行驶阻力是不断变化的;在阻力大时,发动机就工作在大负荷工况下,此时缸内的压力增大,磨损加剧。
1.4 气 候
在冬季,由于润滑油的粘度低,进入润滑部位慢,从而使发动机干摩擦的时间长;在酷热的夏天,汽车各零件处于热状态,在环境温度为40 ℃时,就会严重影响电气元件的效能,使点火系不能正常工作;另外,由于高温,润滑油变稀,油膜难以形成,使发动机干摩擦的倾向性增大。
1.5 驾 驶
驾驶技术的熟练与否也影响发动机的效能和使用寿命。
1.5.1 挡位的选择
在行驶中应掌握“高速挡不硬撑”,否则发动机长时间高速运转,使发动机没有余力,稳定性差,产生扭振和冲击,造成机件损伤;“低速挡不硬冲”,否则发动机温度增高,造成早燃及爆燃等现象,导致发动机早期磨损。
1.5.2 车速的选择
车速对各运动副的磨损量影响较大,磨损量取决于相对运动速度、正压力和摩擦系数。在高速时,活塞平均线速度较大,故相对缸体的磨损就大,尤其是燃烧不好时,碳粒形成的磨粒使磨损增大。车速低时,由于润滑油压力低,油膜刚度小,润滑条件差,也会使磨损量加大。
1.6 维护保养质量
加强对发动机的维护保养是延长发动机寿命的重要举措。除日常检查保养的专案外,要重点把好发动机的“入口”关,保持“三滤”(机油滤清器、汽车滤清器、空气滤清器)的清洁。如果“三滤”出现故障,空气中的灰尘及润滑油和燃油中的杂质大量进入气缸,从而加剧了磨料磨损。实践表明,如果空气滤清器失效,若在我国的西北或华北地区行车一天进入气缸的灰尘可高达30 g,气缸的磨损量将比正常的大100倍。
2 对 策
2.1 正确驾驶车辆
适时换挡;切忌超载;尽可能减少发动机的冷起动次数;保持一定的冷却水温度;合理选择车速。
2.2 合理选用燃油和润滑油
2.3 加强对发动机维护和定期保养
所以增加汽缸数量或增加每个汽缸燃烧室的容积可以获得更多的动力。
汽车保养应换坏了的部件.还有机油
火车是怎样启动的?
这个问题可以很简单,也可以很复杂,你想我回答简单一点吗?
1火车的动力来源
蒸汽机车:煤-蒸汽机(已经彻底淘汰)
内燃机车:柴油-柴油发电机组-牵引电机(液力传动很少)
电力机车:交流高压电-主变压器-牵引电机
2牵引电机的工作原理
一般采用直流串励电动机,在启动低速时候有很大的牵引电流和牵引力矩,在高速时候电流变小,电压升高
3火车启动过程
机车载入,在刚启动时候产生很大的牵引力,带动机车后面的车辆启动。由于火车并不是一个很大的车厢组成,而是很多单个的小车厢组成,机车就可以一节一节带动车厢全部启动。
可以想象,如果火车不是一节一节的,而是一个整体,那将很难启动。
木马是怎么启动的,怎么检测软体,有没有弱点?
杀软就是他的弱点 中毒是因为没有防御工具抵制! 我给你介绍下我用过感觉还好的杀软!你可以试用几天看看! 金山.全国就他通过两次VB100.(全国就金山和瑞星参加.金山两次参加两次获得.瑞星两次只得一次) 我用着感觉占资源不太大!抢先杀这新技术不错.监控比较好.清除能力还可以!国产的老大! 官方网下载地址 :duba./download/index.s 再给你个金山破解版的!:gougou./search?search=%E9%87%91%E5%B1%B1%E6%AF%92%E9%9C%B8%E7%A0%B4%E8%A7%A3%E7%89%88restype=-1id=10000002&ty=0&pattern=0 卡巴.不用说.防毒强悍著称的卡巴!在中国占有一定地位. 我用的时候感觉就是占点资源麻烦了点.!新手和低配置机子最好别用.其他方面还可以! 官方网下载地址 :kaspersky../(你可以到360那下载.免费半年的!) 再给你个卡巴破解.:97info./query.asp?q=%BF%A8%B0%CD&t=m NOD32.全世界占用记忆体最少的杀软!微软用过4年!自然差不了多少!现在的3.0更是出色 我用着感觉好像没装杀软一样的快速!防毒能力还可以.防毒速度还是全世界最快的.总体很好! 官方网下载地址(メоrC﹎嗜殈原创如有雷同.实属抄袭) :nod32.8/21/ 再给你个破解的:97info./query.asp?q=NOD32&t=m 我用过这么多杀软就不一一介绍了.就上面3款我觉得最好用(メоrC﹎嗜殈原创如有雷同.实属抄袭) 防火墙我介绍风云.很不错.不用序列号的了.他百年升级一次!但防御效果绝对牛! 官方网下载:218./? 有人说瑞星那么好怎么不说.我觉得它就广告红.监控不好.次次都有病毒清除不到!说什么解压清理 占记忆体不比卡巴少.自动防御更是肤浅人的!反正我帮人搞电脑那么久.见到最多就是用瑞星中毒的 下面给你介绍下安全配置! 金山+360安全卫士+GHOST11.5适合256记忆体左右的使用者(就是还原软体.这个不怎么损硬碟.推荐下载地址) GHOST11.5下载地址:sky./soft/25989. 卡巴+360安全卫士+GHOST11.5适合512记忆体或更高的使用者 ) NOD32+360+GHOST11.5适合128记忆体的使用者.高记忆体用也没关系.好用~ 以上的安全搭配都不错.我用这么久没中过毒! 以上都是个人感受.
内燃机是怎样启动的?
内燃机主要分柴油机和汽油机,柴油机靠压缩空气或其它外部动力带启动机器,让柴油机压缩发火,汽油机则是在喷油时火花塞点火而发火。
如何让开启网页的人启动木马,木马是传到空间还是怎样?菜鸟求教
菜鸟就不要玩了