http://jackxiang.com/index.php zh-cn http://jackxiang.com/post/242/ jack <xdy108@126.com> Wed, 11 Oct 2006 07:16:45 +0000 http://jackxiang.com/post/242/ 病毒修改了exe 还有epl 文件的关联了.

TC告诉过我这个问题.

开始运行输入 cmd 回车

然后依次执行
assoc .exe=exefile
assoc .cpl=cplfile
assoc cplfile=rundll32.exe shell32.dll,Control_RunDLL %1,%*





这个问题很简单。
主要问题就再VEM的这句上
assoc cplfile=rundll32.exe shell32.dll,Control_RunDLL %1,%*

病毒木马就是修改了这句把rundll32.exe 改为其他的 比如rundll3.exe 这样打开所有CPL这类控制面板的程序 就会启动
rundll3.exe 这个木马程序了。
有可能是这个木马程序被杀毒软件杀掉，这也是很多人说 装了杀毒软件 控制面板里面的项都打不开了，就是因为杀毒软件杀掉了这个木马。
也可能是 是个简单的木马。

否则rundll3.exe 会把得到的参数传递给rundll32.exe
肉眼根本无法感觉到任何状况的


因为你的电脑中毒了.
病毒修改了exe 还有epl 文件的关联了.

TC告诉过我这个问题.

开始运行输入 cmd 回车

然后依次执行
assoc .exe=exefile
assoc .cpl=cplfile
assoc cplfile=rundll32.exe shell32.dll,Control_RunDLL %1,%*





这个问题很简单。
主要问题就再VEM的这句上
assoc cplfile=rundll32.exe shell32.dll,Control_RunDLL %1,%*

病毒木马就是修改了这句把rundll32.exe 改为其他的 比如rundll3.exe 这样打开所有CPL这类控制面板的程序 就会启动
rundll3.exe 这个木马程序了。
有可能是这个木马程序被杀毒软件杀掉，这也是很多人说 装了杀毒软件 控制面板里面的项都打不开了，就是因为杀毒软件杀掉了这个木马。
也可能是 是个简单的木马。

否则rundll3.exe 会把得到的参数传递给rundll32.exe
肉眼根本无法感觉到任何状况的


骨骨 2006-09-11 14:23
我拿个简单的来解释下吧。

当你双击一个txt文本 为什么 会直接调用 记事本来打开他呢。
为什么 你双击个jpgt 图片 为什么会直接调用 图片查看器打开呢。为什么你安装了图片查看软件 就会自动调用图片查看软件来打开了呢。

因为文件关联

注册表中已经声明了 txt文件的关联 关联到 notepad.exe 当你打开txt文件的时候 他就会自动调用记事本来打开你要打开的那个txt文件了

我们看下 txt文件的传递参数 %SystemRoot%\system32\NOTEPAD.EXE %1

这个意思就是 当双击txt文件时 会自动运行notepad。exe 并传递打开txt文件的路径给他。

问题就在这里了，只是个简单的参数传递，没有其他安装检测等等。木马病毒就可以从这里下手脚。

我做个简单的小程序 命名未 notepaa.exe 然后放到系统文件夹下。
然后修改txt的文件关联为 %SystemRoot%\system32\NOTEPAA.EXE %1

现在情况变了 双击 txt文件后 运行的是我的程序了。
这样我写的“木马程序“就运行了

但是 这样 记事本 就无法运行了啊 怎么办？

但木马程序 运行后 会把得到的参数重新传递给 记事本 notepad。exe 的 这样记事本 依然可以打开 我们表面看不到任何异状的。及时你删除了木马的启动项目 当你打开一个txt文件后 木马依然会运行的。

=============打的好累。继续解释。。

楼主的电脑属性打不开。
其实哪些属性对话框 是 系统 的cpl文件 原理和我讲的txt文件一样
参数是这样的 rundll32.exe shell32.dll,Control_RunDLL %1,%* 看似比较复杂 慢慢理解
主要是修改 rundll32.exe 这个 运行木马后 参数会回传回去。

那么为什么属性窗口打不开呢。
因为那个木马被杀掉了 也就是我刚刚举的那个 notepaa。exe 例子里 这个notepaa.exe被干掉了。

这样记事本就无法开了 属性窗口也是一个道理。。

呼 文采不好 说了这么多 不知道你懂没懂。。不懂的 回帖问。等我回来 我再给你解释。

]]> http://jackxiang.com/post/242/#blogcomment10 闹闹 <user@domain.com> Fri, 27 Oct 2006 06:18:01 +0000 http://jackxiang.com/post/242/#blogcomment10 http://jackxiang.com/post/242/#blogcomment14 root <admin@yourname.com> Tue, 07 Nov 2006 11:42:15 +0000 http://jackxiang.com/post/242/#blogcomment14 http://jackxiang.com/post/242/#blogcomment50654 雨过惊虹 <user@domain.com> Fri, 02 Nov 2007 12:36:54 +0000 http://jackxiang.com/post/242/#blogcomment50654