最易被黑客盯上的注冊表位置
http://tech.163.com 2006-02-06 14:25:07 來源: 天極網 網友評論0 條 論壇
問:前兩天我打開了mail中的一個附件,因為那個mail的地址和我一個同事的地址很像,
因此沒有多考慮就將附件下載打開了。不想這個附件是個病毒,它讓我的機器變的很慢,
殺毒之後好像沒有太大作用。請問我該怎麽辦?
答:病毒、木馬、和一些惡意軟件,往往都會對Widnows的注冊表下毒手,
雖然破壞形式不盡相同,但是經過分析它們的破壞手法並非無規律可循。
這裏列出了一些用戶係統中被易被修改的係統設置和注冊表項。
建議再換用其他木馬專殺工具試一下,並再針對以下注冊表鍵值進行檢查,
看看是否有被改動過的跡象。
係統設置文件
對於Widnows 9X係統,常見的是病毒修改可能會更改autoexec.bat,
隻要在其中加入執行病毒程序文件的語句即可在係統啟動時自動激活病毒。
*更改 drive:\windows\win.ini或者system.ini文件。
病毒通常會在win.ini的“run=”後麵加入病毒自身的文件名,
或者在system.ini文件中將“shell=”更改。
注冊表鍵值
目前,隻要新出的蠕蟲/特洛伊類病毒一般都有修改係統注冊表的動作。
它們修改的位置一般有以下幾個地方:
在係統啟動時自動執行的程序
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\
在係統啟動時自動執行的係統服務程序
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
在係統啟動時自動執行的程序,這是病毒最有可能修改/添加的地方
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ HKEY_CLASSES_ROOT\exefile\shell\open\command
說明:此鍵值能使病毒在用戶運行任何EXE程序時被運行,以此類推,..\txtfile\..
或者 ..\comfile\.. 也可被更改,以便實現病毒自動運行的功能。
另外,有些健值還可能被利用來實現比較特別的功能:
有些病毒會通過修改下麵的鍵值來阻止用戶查看和修改注冊表:
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools =
為了阻止用戶利用.REG文件修改注冊表鍵值,以下鍵值也會被修改來顯示一個內存訪問錯誤窗口
例如:Win32.Swen.B 病毒 會將缺省健值修改為:
HKCR\regfile\shell\open\command\(Default) = "cxsgrhcl.exe showerror"
通過對以上地方的修改,病毒程序主要達到的目的是在係統啟動或者程序運行過程中
能夠自動被執行,已達到自動激活的目的。
這個不錯,抄一些
本文內容已被 [ hello2 ] 在 2006-03-17 10:51:56 編輯過。如有問題,請報告版主或論壇管理刪除.