|簡體中文

比思論壇

 找回密碼
 按這成為會員
搜索



查看: 665|回復: 0
打印 上一主題 下一主題

蠕虫和木马经常修改哪些系统文件和注册表

[複製鏈接]

25

主題

0

好友

224

積分

小學生

Rank: 2

  • TA的每日心情

    2024-3-24 20:51
  • 簽到天數: 108 天

    [LV.6]常住居民II

    推廣值
    0
    貢獻值
    0
    金錢
    74
    威望
    224
    主題
    25
    樓主
    發表於 2015-3-24 10:15:58

    从计算机病毒的发展趋势来看,蠕虫和木马类的病毒越来越多。与普通感染可执行文件的文件型病毒不同,此类程序通常不感染正常的系统文件,而是将自身作为系统的一部分安装到系统中。相对来说,此类病毒的隐蔽性更强一些,更不容易被使用者发觉。

      但是无论什么样的病毒程序在感染系统时都会留下一些蛛丝马迹。在此我们总结一下各种病毒可能会更改的地方,以便能够更快速地找到它们。

      一、更改系统的相关配置文件

      这种情况主要是针对老系统。

      病毒可能会更改autoexec.bat,只要在其中加入执行病毒程序文件的语句即可在系统启动时自动激活病毒。*更改drive:\windows\win.ini或者system.ini文件。病毒通常会在win.ini的“run=”后面加入病毒自身的文件名,或者在system.ini文件中将“shell=”更改。

      二、更改注册表健值

      目前,只要新出的蠕虫/特洛伊类病毒一般都有修改系统注册表的动作。它们修改的位置一般有以下几个地方:

      HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\

      说明:在系统启动时自动执行的程序

      HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\

      说明:在系统启动时自动执行的系统服务程序

      HKLM\Software\Microsoft\Windows\CurrentVersion\Run\

      说明:在系统启动时自动执行的程序,这是病毒最有可能修改/添加的地方。 例如:Win32.Swen.B病毒将增加:HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ucfzyojza= “cxsgrhcl.exe autorun”

      HKEY_CLASSES_ROOT\exefile\shell\open\command

      说明:此键值能使病毒在用户运行任何EXE程序时被运行,以此类推,..\txtfile\.. 或者 ..\comfile\.. 也可被更改,以便实现病毒自动运行的功能。

      另外,有些健值还可能被利用来实现比较特别的功能:

      有些病毒会通过修改下面的键值来阻止用户查看和修改注册表:

      HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools =

      为了阻止用户利用.REG文件修改注册表键值,以下键值也会被修改来显示一个内存访问错误窗口

      例如:Win32.Swen.B 病毒 会将缺省健值修改为:

      HKCR\regfile\shell\open\command\(Default) = “cxsgrhcl.exe showerror”

      通过对以上地方的修改,病毒程序主要达到的目的是在系统启动或者程序运行过程中能够自动被执行,已达到自动激活的目的。


    重要聲明:本論壇是以即時上載留言的方式運作,比思論壇對所有留言的真實性、完整性及立場等,不負任何法律責任。而一切留言之言論只代表留言者個人意見,並非本網站之立場,讀者及用戶不應信賴內容,並應自行判斷內容之真實性。於有關情形下,讀者及用戶應尋求專業意見(如涉及醫療、法律或投資等問題)。 由於本論壇受到「即時上載留言」運作方式所規限,故不能完全監察所有留言,若讀者及用戶發現有留言出現問題,請聯絡我們比思論壇有權刪除任何留言及拒絕任何人士上載留言 (刪除前或不會作事先警告及通知 ),同時亦有不刪除留言的權利,如有任何爭議,管理員擁有最終的詮釋權。用戶切勿撰寫粗言穢語、誹謗、渲染色情暴力或人身攻擊的言論,敬請自律。本網站保留一切法律權利。

    手機版| 廣告聯繫

    GMT+8, 2024-11-16 13:53 , Processed in 0.016649 second(s), 17 queries , Gzip On, Memcache On.

    Powered by Discuz! X2.5

    © 2001-2012 Comsenz Inc.

    回頂部