修改注冊表防電腦病毒的方法有哪些
木馬取自古希臘神話的特洛伊木馬記,是一種基于遠(yuǎn)程控制的黑客工具,具有很強的隱藏性和危害性。為了達(dá)到控制服務(wù)端主機的目的,木馬往往要采用各種手段達(dá)到激活自己,加載運行的目的。這里,我們簡要的介紹一下木馬通用的激活方式,它們的藏身地,并通過一些實例來讓您體會一下手動清除木馬的方法。
●在Win.ini中啟動木馬:
在Win.ini的[Windows]小節(jié)中有啟動命令“l(fā)oad=”和“run=”,在一般的情況下“=”后面是空的,如果后面跟有程序,比如:
run=C:Windows ile.exe
load=C:Windows ile.exe
則這個file.exe很有可能就是木馬程序。
●在Windows XP注冊表中修改文件關(guān)聯(lián):
修改注冊表中的文件關(guān)聯(lián)是木馬常用的手段,如何修改的方法已在本系列的前幾文中有過闡述。舉個例子,在正常情況下txt文件的打開方式為Notepad.exe(記事本),但一旦感染了文件關(guān)聯(lián)木馬,則txt文件就變成條用木馬程序打開了。如著名的國產(chǎn)木馬“冰河”,就是將注冊表HKEY_CLASSES_ROOT xtfileshellopencommand子鍵分支下的鍵值項“默認(rèn)”的.鍵值“C:Windows otepad.exe %1”修改為“C:WindowsSystemSysexplr.exe”,這樣,當(dāng)你雙擊一個txt文件時,原本應(yīng)該用記事本打開的文件,現(xiàn)在就成了啟動木馬程序了。當(dāng)然,不僅是txt 文件,其它類型的文件,如htm、exe、zip、com等文件也都是木馬程序的目標(biāo),要小心。
對這類木馬程序,只能檢查注冊表中的HKEY_CLASSES_ROOT中的文件類型shellopencommand子鍵分支,查看其值是否正常。
●在Windows XP系統(tǒng)中捆綁木馬文件:
實現(xiàn)這種觸發(fā)條件首先要控制端和服務(wù)端已通過木馬建立連接,控制端用戶使用工具軟件將木馬文件和某一應(yīng)用程序捆綁在一起,上傳到服務(wù)端覆蓋原有文件,這樣即使木馬被刪除了,只要運行捆綁了木馬的應(yīng)用程序,木馬又會被重新安裝了。如果捆綁在系統(tǒng)文件上,則每次Windows XP啟動都會啟動木馬。
●在System.ini中啟動木馬:
System.ini中的[boot]小節(jié)的shell=Explorer.exe是木馬喜歡的藏身之所,木馬通常的做法是將該語句變?yōu)檫@樣:
Shell=Explorer.exe file.exe
這里的file.exe就是木馬服務(wù)端程序。
另外,在[386enh]小節(jié),要注意檢查在此小節(jié)的“driver=path程序名”,因為也有可能被木馬利用。[mic]、[drivers]、[drivers32]這三個小節(jié)也是要加載驅(qū)動程序的,所以也是添加木馬的理想場所。
●利用Windows XP注冊表加載運行:
注冊表中的以下位置是木馬偏愛的藏身之所:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion子鍵分支下所有以“run”開頭的鍵值項數(shù)據(jù)。
【修改注冊表防電腦病毒的方法有哪些】相關(guān)文章:
人口計生法修改內(nèi)容有哪些08-31
預(yù)防電腦病毒的方法09-28
電腦病毒的防治方法09-30
戒煙方法有哪些02-23
職場減壓方法有哪些04-01
企業(yè)培訓(xùn)方法有哪些11-15
學(xué)習(xí)方法有哪些02-22
績效考評方法有哪些02-27
hr面試方法有哪些02-18