廣告廣告
  加入我的最愛 設為首頁 風格修改
首頁 首尾
 手機版   訂閱   地圖  簡體 
您是第 1854 個閱讀者
 
發表文章 發表投票 回覆文章
  可列印版   加為IE收藏   收藏主題   上一主題 | 下一主題   
upside 手機 葫蘆墩家族
個人頭像
個人文章 個人相簿 個人日記 個人地圖
特殊貢獻獎 社區建設獎 優秀管理員勳章
頭銜:反病毒 反詐騙 反虐犬   反病毒 反詐騙 反虐犬  
版主
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片
推文 x0
[資訊教學] 病毒通常更改系統配置文件及註冊表
病毒通常更改系統配置文件及註冊表

從電腦病毒的發展趨勢來看,蠕蟲和木馬類的病毒越來越多。與普通感染可執行文件的文件型病毒不同,此類程式通常不感染正常的系統文件,而是將自身作為系統的一部分安裝到系統中。相對來說,此類病毒的隱蔽性更強一些,更不容易被使用者發覺。
  
  但是無論什麼樣的病毒程式在感染系統時都會留下一些蛛絲馬跡。在此我們總結一下各種病毒可能會更改的地方,以便能夠更快速地找到它們。
  
  一、更改系統的相關配置文件。這種情況主要是針對95/98系統。
  
  病毒可能會更改autoexec.bat,只要在其中加入執行病毒程式文件的語句即可在系統啟動時自動激活病毒。*更改drive:\windows\win.ini或者system.ini文件。病毒通常會在win.ini的“run=”後面加入病毒自身的文件名,或者在system.ini文件中將“shell=”更改。
  
  二、更改註冊表健值。
  
  目前,只要新出的蠕蟲/特洛伊類病毒一般都有修改系統註冊表的動作。它們修改的位置一般有以下幾個地方:
  
  HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
  說明:在系統啟動時自動執行的程式
  
  HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
  說明:在系統啟動時自動執行的系統服務程式
  
  HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  說明:在系統啟動時自動執行的程式,這是病毒最有可能修改/添加的地方。 例如:Win32.Swen.B病毒將增加:HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ucfzyojza= "cxsgrhcl.exe autorun"
  
  HKEY_CLASSES_ROOT\exefile\shell\open\command
  
  說明:此鍵值能使病毒在用戶運行任何EXE程式時被運行,以此類推,..\txtfile\.. 或者 ..\comfile\.. 也可被更改,以便實現病毒自動運行的功能。
  
  另外,有些健值還可能被利用來實現比較特別的功能:
  
  有些病毒會通過修改下面的鍵值來阻止用戶查看和修改註冊表:
  
  HKCU\Software\Microsoft\Windows\CurrentVersion\Policies
  System\DisableRegistryTools =
  
  為了阻止用戶利用.REG文件修改註冊表鍵值,以下鍵值也會被修改來顯示一個記憶體訪問錯誤窗口
  
  例如:Win32.Swen.B 病毒 會將缺省健值修改為:
  
  HKCR\regfile\shell\open\command\(Default) = "cxsgrhcl.exe showerror"
  
  通過對以上地方的修改,病毒程式主要達到的目的是在系統啟動或者程式運行過程中能夠自動被執行,已達到自動激活的目的。



爸爸 你一路好走
獻花 x0 回到頂端 [樓 主] From:臺灣和信超媒體寬帶網 | Posted:2006-12-06 04:04 |

首頁  發表文章 發表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.047119 second(s),query:15 Gzip disabled
本站由 瀛睿律師事務所 擔任常年法律顧問 | 免責聲明 | 本網站已依台灣網站內容分級規定處理 | 連絡我們 | 訪客留言