病毒的另类启动方式

　　转载自：http://www.weixianmanbu.com/article/1369.html

　　很喜欢网上的一篇关于木马编程的文章，让我们这些新手也能有机会去DIY，虽然和牛人们的那些功能强人的木马比起来有些微不足道，但能使用cmd控制肉鸡已经可以做很多事情了，最重要的是不会被杀毒软所查杀，但是还有一点美中不足，就是始终没有提及木马的启动方式，总不至于将木马放到启动项里吧，那样太暴露人不上“档次”而且杀软件还会乱“叫”。对于过于复杂的驱动加载技术，我们也做不了，经过一番努力，我找到了几种启动方式，而且杀毒软件也不会“叫”，特写出来供广大黑友们参考。

一、快捷方式劫持

这个名字是我自己起的，其理想结果就是被劫持后不管是桌面、快速启动，还是开始菜单程序中的快捷方式都会指向我们的病毒文件，同时病毒还会运行快捷方式本应指向的程序以避免被用户发现，理论上讲这种启动方式的成功率还是比较高的，因为谁都会使用到快捷方式，而常用的快捷方式已经被我们偷梁换柱了，想不中招都不行呀。

下面我就以劫持桌面上的QQ快捷方式为例来写一段参考程序，假设我们的测试病毒文件是mm.exe（其实是一个提示对话框），存在于%SystemRoot%,(C:\windows)目录下，在编写代码前我们需要手工制作一个快捷方式“腾讯QQ.lnk”，方法非常简单，使用到了图标提取工具“IcoSpritc”，它可以更改和批量提取图标。打开IcoSprite，点击“提取工具”，然后选择“添加目录”，选择QQ的安装目录，再点击“搜索指定目录”。

提取出来的图标默认是存放在c：\IcoSprite\目录下的，我们选择一个与桌面图标相同的图标复制出来，然后点右键选择新建一个快捷方式，在弹出的新建向导的“项目的位置”中填入“%SystemRoot%\run．exe”，其中run.exe便是我们要劫持的程序，此时Windows可能会提示路径无效，没有关系，在Windows目录下新建一个名为run.exe的文本文件就可以了，快捷方式创建好了后还要更改其图标，右键点击快捷方式选择“属性”——“更改图标”，将图标更改成我们提取出来的那个图标并命名为run，这样就制作好了。

接下来我们就需要使用刚才制作的快捷方式来替换桌面上正常的快捷方式了，我编写了一个批处理文件，如下：

将这段代码保存为“Main.bat”，现在大部分工作就已经做完了，接下来就要做我们的劫持程序了，它的作用是运行QQ主程序和病毒程序mm.exe，代码如下：

将它保存为“qqrun.bat”，然后建立一个VBS脚本，这个脚本的主要作用是隐藏bat文件窗口，代码如下：

将上面的代码保存为“hideQqrun.vbs”，其中qqrun.bat便是我们要隐藏运行的bat文件，使用同样的方法创建另外一个隐藏main.bat窗口的vbs文件并命名为“Hidemain.vbs”，剩下的工作就是制作自解压程序了，将run.lnk、run.exe、main.bat、Hidemain．vbs和病毒程序mm.exe一起打包到一个文件中，并在解压路径中填上%SystemRoot%，“解压后运行”中填上Hidemain.vbs并选择隐藏运行，这样一个隐藏的启动方式就制作完毕了。运行一下来看看效果，很隐蔽吧！

二、环境变量劫持

这个名字很新鲜吧，依然是我自己起的，先再一下Windows系统默认的环境变量%SystcmRoot%\systcm32;%SystemRoot%;%SystemRoot%\System32\Wbem\，它的意思是当一个程序需要调用另一个文件时，如果在当前目录下找不到该文件，那么系统就会先去system32目录下查找，如果还查找不到就会去Windows或Winnt目录下查找，最后则会去Systcm32YWbem\目录下查找，如果依然没有找到系统就会返同错误信息，可见systcm32的优先级是最高的。

下面我就对regedit劫持一下，假设我把病毒文件命名为rcgcdit．exe并存放在systcm32目录下，而正常的regedit.exe则是存放在windows目录下的，当用户需要打开注册表时，就会发现注册表打不开了，而这时我们在system32目录下的regedit.exe病毒就已经被运行了，所有人都以为这是映像劫持，其实是这只是环境变量劫持而已。这种劫持方式的应用领域很狭窄，因为用户经常运行的大部分程序都是在优先级最高的system32目录下的，这种方法不能用作病毒的主要启动方式。