深一集團40%的客戶來自外地,80%的業務來自搜索引擎和良好口碑!
微信 微信人工客服  |
微信人工客服
QQ在線溝通

新聞中心

全國業務咨詢請致電

400-666-2014

為您打響品牌第一炮
  • 在線QQ
  • 在線客服
  • 在線留言
病毒程序和木馬經常修改的系統文件和注冊表
發布日期:2009-03-20   關鍵詞:深圳蓮花山,深圳梧桐山   已有 4633 人瀏覽

  從計算機病毒的發展趨勢來看,蠕蟲和木馬類的病毒越來越多。與普通感染可執行文件的文件型病毒不同,此類程序通常不感染正常的系統文件,而是將自身作為系統的一部分安裝到系統中。相對來說,此類病毒的隱蔽性更強一些,更不容易被使用者發覺。

  但是無論什么樣的病毒程序在感染系統時都會留下一些蛛絲馬跡。在此我們總結一下各種病毒可能會更改的地方,以便能夠更快速地找到它們。

  一、更改系統的相關配置文件

  這種情況主要是針對老系統。

  病毒可能會更改autoexec.bat,只要在其中加入執行病毒程序文件的語句即可在系統啟動時自動激活病毒。*更改drive:\windows\win.ini或者system.ini文件。病毒通?;嵩趙in.ini的“run=”后面加入病毒自身的文件名,或者在system.ini文件中將“shell=”更改。

  二、更改注冊表健值

  目前,只要新出的蠕蟲/特洛伊類病毒一般都有修改系統注冊表的動作。它們修改的位置一般有以下幾個地方:

  HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\

  說明:在系統啟動時自動執行的程序

  HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\

  說明:在系統啟動時自動執行的系統服務程序

  HKLM\Software\Microsoft\Windows\CurrentVersion\Run\

  說明:在系統啟動時自動執行的程序,這是病毒最有可能修改/添加的地方。 例如:Win32.Swen.B病毒將增加:HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ucfzyojza= “cxsgrhcl.exe autorun”

  HKEY_CLASSES_ROOT\exefile\shell\open\command

  說明:此鍵值能使病毒在用戶運行任何EXE程序時被運行,以此類推,..\txtfile\.. 或者 ..\comfile\.. 也可被更改,以便實現病毒自動運行的功能。

  另外,有些健值還可能被利用來實現比較特別的功能:

  有些病毒會通過修改下面的鍵值來阻止用戶查看和修改注冊表:

  HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools =

  為了阻止用戶利用.REG文件修改注冊表鍵值,以下鍵值也會被修改來顯示一個內存訪問錯誤窗口

  例如:Win32.Swen.B 病毒 會將缺省健值修改為:

  HKCR\regfile\shell\open\command\(Default) = “cxsgrhcl.exe showerror”

  通過對以上地方的修改,病毒程序主要達到的目的是在系統啟動或者程序運行過程中能夠自動被執行,已達到自動激活的目的。

 

 

群英会现场开奖走势图    群英会现场开奖走势图    群英会现场开奖走势图    群英会现场开奖走势图    群英会现场开奖走势图

注:本文來自深一集團原創或轉截 //www.zphald.com.cn/newslist_807_2.html 如需轉載,請注明出處!
深一網絡公司專注設計13年
全國網站建設
深一云服務器深一云服務器
高性能,高安全
網絡公司拒絕不當利
崇尚野蠻生長
500強企業網500強企業網
站建設供應商
10000家客戶案例10000家客戶案
實力說服力
83位技術團隊83位技術團隊
服務高保障
深一只做有排名網站只做有排名
有價值的網站
200人服務團隊200人服務團隊
追求客戶滿意