您尚未
登入
注册
忘记密码
搜寻
赞助
赞助本站
数位公仔
纪念T恤
纪念马克杯
广告
刊登广告
广告价格
线上申请刊登
用雅币刊登
免费刊登
目前客户
简讯
简讯说明
购买金币
发送简讯
预约简讯
发送记录
好友通讯
罐头简讯
论命
数位论命馆
免费排盘工具
葫芦墩 优生造命
葫芦墩 八字命书
影音论命(葫芦墩)
影音占卜(葫芦墩)
购买金币
星座分析
孔明神数
周公解梦
星侨线上论命
娱乐
影 像 行 脚
数 位 造 型
数 位 画 廊
心 情 日 记
公 益 彩 券
送生日蛋糕
俄罗斯方块
四 川 省
猜 数 字
比 大 小
泡 泡 龙
许 愿 池
万 年 历
经 期 计 算
体 重 测 量
音 乐 点 播
卫 星 地 图
时间戳字幕
男女聊天室
求助
论坛守则
会员等级
会员权限
语法教学
常见问题
最新活动
打工赚雅币
首页
新版首页(全页)
传统首页(全页)
新版首页(选单)
传统首页(选单)
MyChat 数位男女
命理风水
15
星侨五术软体
4
葫芦墩命理网
5
命理问答
9
四柱八字
1
紫微斗数
1
姓名学
手面相
易经占卜
1
风水研讨
1
择日&三式
1
西洋占星
无视论塔罗牌
10
修行&武术
1
中医研讨
五术哈啦
1
电脑资讯
13
硬体讨论
5
超频 & 开箱
3
数位生活
2
PDA 讨论
手机讨论区
软体推荐
2
软体讨论
6
Apple 讨论
1
Unix-like
网路&防毒
2
程式设计
网站架设
4
电脑教学资源
生活休闲
14
休闲哈啦
7
感情世界
2
上班一族
5
国考&法律
7
生活医学
4
运动体育
1
单车讨论
1
钓鱼讨论
6
旅游讨论
4
天文观星
3
摄影分享
8
图片分享
4
数位影视
2
笑话集锦
3
兴趣嗜好
13
文学散文
7
绘图艺术
1
布袋戏
3
动漫画讨论
3
美食天地
6
理财专区
心理测验
1
汽、机车
3
宠物园地
模型&手工艺
4
花卉园艺
魔术方块
独轮车专区
电玩游戏
13
游戏欢乐包
4
CS讨论
8
Steam
3
MineCraft
2
东方Project
英雄联盟LOL
1
单机游戏
2
WebGame
3
线上游戏1
6
线上游戏2
5
电视游乐器
1
掌上型游戏
2
模拟器游戏
1
工商服务
6
虚拟城市
7
好康分享
新品贩售
二手拍卖
1
租屋&找屋
工商建议区
1
站务专区
10
最新活动
活动成果
数位造型
心情日记
个人图库
新人报到练习
论坛问题建议
1
荣会及电子报讨论
-最近版区-
-最近浏览-
»
电脑资讯
硬体讨论
超频 & 开箱
数位生活
PDA 讨论
手机讨论区
软体推荐
软体讨论
Apple 讨论
Unix-like
网路&防毒
程式设计
网站架设
电脑教学资源
»
网路&防毒
网路通讯讨论
防毒防骇讨论
»
防毒防骇讨论
防毒历史问题
»
木马.病毒 增加注册表资料 是否需要删除
手机版
订阅
地图
繁体
您是第
2442
个阅读者
可列印版
加为IE收藏
收藏主题
上一主题
|
下一主题
upside
反病毒 反诈骗 反虐犬
级别:
版主
版区:
硬体讨论
,
公益互助
,
PDA 讨论
,
手机讨论区
,
诈骗资讯
,
网路&防毒
x372
x2016
分享:
▼
x
0
[问题讨论] 木马.病毒 增加注册表资料 是否需要删除
木马.病毒 增加注册表资料 是否需要删除
研究了一段时间 木马病毒
发觉有时候 应该可以不必理会
因为木马.病毒 入侵时 所增加的注册表(登录档)
除非那个位置位于 启用又是通往恶意网址
以便下载变种或其他木马病毒的资料
才需要删除干净 否则应该只需把进程及隐藏的档案删除干净
其登录档 自然失效 不必特意删除
但可使用一些登录档清除软体 如超级兔子.等 如此可清除更干净
大家来讨论一下 是否应该顺便删除 还是可以暂时不管它
因为小弟在编写查杀工具时 每每要杀除登录档
都需要一一比对 确定无误 才可放行
否则没杀除干净 那就算 若造成系统问题 那就大了
爸爸 你一路好走
x
0
[楼 主]
From:台湾 |
Posted:
2006-12-26 15:46 |
lens690
级别:
初露锋芒
x1
x51
分享:
▲
▼
Re:木马.病毒 增加注表资料 是否需要删除
一般来说,建议是都删除清干净比较好..
不过,对于撰写杀毒工具来说,这会是一个困扰..
但是,部分在reg中的机码值,还是要删,因为,有时机码只是去执行木马,木马在解出dll档案,由Dll档案在去做处理,所以,如果互相有牵连,删掉会比较保险。
类似CClearn的软体都可以清除,他们是用啥技术?是否可以比照?
确保电脑安全,勿点选不明档案或网址
x
0
[1 楼]
From:台湾中华电信 |
Posted:
2006-12-26 18:46 |
nisaa
级别:
路人甲
x0
x1
分享:
▲
▼
但那也是"有时候"
像是我测试病毒的时候,也是发现有部分来源的木马/后门增加的机码只有启动木马/后门的机码而已
如果没有删除机码,顶多开机的时候出现无法启动XXX程式之类的,也不会有什么后遗症
但是有些木马/后门就是很高招的...
第一种是改WinSock连线设定,虽然没有时间在用SREng等工具来分析,但是透过tracert就可以发现...一个封包要丢出去到目标主机,中间却经过了大陆ip的层层的转发...如果不修改的话,封包丢出去根本就是等于把个人资料丢出去
第二种就是直接把机码放在预设值的...透过第三方程式来修改根本无效...非得要regedit手动修改才行,这也是一个诟病...使用者也要一定的了解登录编辑器...
第三种就是擅自透过Policies等特殊限制,将系统核心工具、连线设定工具锁死,如果这串值还放在预设值的话...嗯..后果不晓得如何...
以前我也是认为木马/后门档案删掉就没事了,但是最难被防护软体察觉的dll跟sys档还是得靠机码才抓的出来,所以免不了又要动到登录编辑器。再说靠其他清除工具,如果一般使用者不明白其中所有的设定项目的话,随意动作的话,将会有无法挽回的后果...
举个例子,有些木马会在登录用程序userinit.exe的机码后面跟一串启动木马的指令,目的在于纪录该使用者帐户的帐密,近一步透过telnet等工具来登录系统取得权限。如果这串值要给其他工具自动修改/修复的话,那一定是整串删除,那这问题可大了,如果这串删除,那就会造成系统一登录马上自动登出,这就非得靠WinPE或安装程式的系统修复功能来挽救...
所以我认为机码的部分是绝对有必要的...
x
0
[2 楼]
From:台湾数位联合 |
Posted:
2006-12-26 19:46 |
upside
反病毒 反诈骗 反虐犬
级别:
版主
版区:
硬体讨论
,
公益互助
,
PDA 讨论
,
手机讨论区
,
诈骗资讯
,
网路&防毒
x372
x2016
分享:
▲
另外很多木马 也都会隐藏在此区
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
看了一下 此区大都是 软体所使用启动档 都会在此处
如防毒.音效驱动.msn 等
如果一一删除 有时很麻烦
很想要一次给它清除掉 一劳永逸
不过相对的 此区的软体功能会造成无法执行
但总比被木马攻击还好 而且有时我在安装新系统时或帮客户修复系统时
也会把这里一些不必要的软体删除或取消掉
以结省系统 资源 让开机速度及系统执行 会更顺畅一些
爸爸 你一路好走
x
0
[3 楼]
From:台湾 |
Posted:
2006-12-27 15:05 |
MyChat 数位男女
»
防毒防骇讨论
Powered by
PHPWind
v1.3.6
Copyright © 2003-04
PHPWind
Processed in 0.052783 second(s),query:16 Gzip disabled
本站由
瀛睿律师事务所
担任常年法律顾问 |
免责声明
|
本网站已依台湾网站内容分级规定处理
|
连络我们
|
访客留言