在Windows環境下,由于病毒必須獲得CPU的控制權,因此很多病毒都需要在Windows啟動后,自動地運行起來。另一方面,越來越多的病毒采用了高級語言的形式,象宏病毒,采用的是VB語言,本身不能直接由CPU來執行,必須由相關程序解釋執行,因此它們必須在操作系統正常啟動后,才能加載自身,進行病毒傳播。因此說,很多病毒必須在Windows啟動后自動地運行起來,并且是依賴于Windows的自動啟動程序的功能。這是這些病毒的一個特點,也是一大弱點。我們可以根據這個特點,分析Windows啟動時有那些程序自動運行,通過檢查這些程序來防范病毒的侵襲。
(1)注冊表項HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices
該項下存放了Windows NT/2000/XP的服務程序。下面的每一個子項對應于一個服務:
ImagePath值項存放了該服務的程序文件路徑。這些服務都有一個Start值項。值為0,表示由核心裝載器裝載;值為1,表示由I/O子系統裝載。Start值為0和1的,都是非常低級和關鍵的Windows服務,它們必須正常啟動,Windows NT/2000/XP才能繼續啟動。通常病毒不會將自己放在這里面,因為這時候WindowsNT/2000/XP只裝載了核心部分,只有最基本的功能。Start值為2,表示自動啟動,值為3,表示手工啟動,值為4,表示禁止啟動。這三類服務,可以在"控制面板"→"管理工具"→"服務"中查看到。
我們需要檢查的是,那些Start值為2的服務,其對應的程序文件(ImagePath值項定義)是否可疑。
(2)注冊表項HKEY_LOCAL_MACHINESYSTEMCurrentControlSet ControlSession Manager
該項下存放了會話管理器(Smss.exe)的信息。在Windows NT/2000/XP的內核啟動階段,需要啟動該項下定義的幾個程序。在REG_MULTI_SZ類型的值項BootExecute中,定義了會話管理器裝載服務前需要運行的程序。默認值為AutoCheck autochk *和Dfsinit。該默認值表示運行磁盤檢查程序,以及啟動DFS文件系統的初始化程序。
我們需要檢查的是,值項BootExecute存放的是否是默認的執行文件,是否還定義了其他的執行程序。
(3)注冊表項HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrent VersionWinlogonUserinit
該值項類型為字符串值,定義了用戶注冊進入時執行的初始化程序。在用戶注冊時,注冊管理程序(Winlogon)啟動該初始化程序,默認值是Userinit.exe。該程序首先運行注冊腳本,建立網絡連接,然后啟動用戶界面程序(Explorer.exe)。用戶可以替換該初始化程序為自己的初始化程序(當然,病毒也可以做到)。一般地,用戶自己的初始化程序可以在處理完自己需要進行的工作后,再調用Userinit.exe程序即可。
我們需要檢查的是,Userinit值項的值是否是Userinit.exe。同時檢查WinntSystem32下的Userinit.exe文件的大小和時間是否是正常的。
(4)注冊表項HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrent VersionWinlogonShell
該值項類型為字符串值,定義了用戶界面程序,默認值為Explorer.exe。正常情況下,注冊管理程序(Winlogon)啟動Userinit定義的初始化程序,該初始化程序會啟動用戶界面程序,因此不需要運行Shell值項定義的程序。如果注冊管理程序沒有能成功啟動Userinit定義的初始化程序,則注冊管理程序會過來啟動該Shell值項定義的用戶界面程序。
我們需要檢查的是, Shell值項的值是否是Explorer.exe。
(5)注冊表項HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrent VersionWinlogonSystem(適用于Windows NT)
該值項類型為字符串值,該值項中存放了安全管理器程序,默認值為Lsass.exe。安全管理器就是Windows NT啟動時,或者屏幕保護后,要求輸入用戶和密碼的畫面。用戶可以替換該安全管理器程序。
我們需要檢查的是System值項的值是否是Lsass.exe。
(6)注冊表項HKEY_CURRENT_USERSOFTWAREMicrosoftWindows CurrentVersionPoliciesExplorerRun
在該項下可以有若干個字符串類型的值項,每個值項的名稱從1開始,值為程序或者文檔的名稱。在用戶注冊進入Windows時,該項下定義的程序將被啟動起來。例如該項下有兩個值項,第一個是1,值為Notepad.exe,第二個是2,值為C: eadme.doc,則在用戶注冊進入Windows 2000時,系統會首先運行起Notepad.exe程序,然后會使用DOC的關聯程序打開C: eadme.doc文檔。
我們需要檢查的是,如果定義了自動啟動程序,則查找該程序是哪個軟件對應的,是否為可疑程序。默認情況下,該注冊表項下應該為空。
(7)注冊表項HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion PoliciesExplorerRun
該項與HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersion PoliciesExplorerRun的作用一樣,不同之處在于,由于它位于HKEY_LOCAL_MACHINE下,所以它將應用于所有的用戶。在啟動順序上,系統首先啟動HKEY_LOCAL_MACHINE下的Run中的程序,再去啟動HKEY_CURRENT_USER下Run中的程序。
(8)注冊表項HKEY_CURRENT_USERSoftwareMicrosoftWindows CurrentVersion下的Run、RunOnce、RunEx和RunOnceEx子項(適用于Windows 9x/Me/NT/2000/XP)
由于是位于HKEY_CURRENT_USER下,因此該項只適用于當前這個用戶,不適用于其他的用戶。在用戶注冊進入Windows系統時,自動地運行該項下定義的程序或文檔。其中Run子項中定義了每次系統啟動時都需要運行的程序,值項類型是字符串值,值項的名稱是該運行程序的說明,值項的值是程序的名稱;RunOnce子項中定義了只運行一次的程序,在該項下的值項中定義的程序運行起來后,該項下的值項就會被刪除掉,這通常用于程序的安裝過程;RunEx和RunOnceEx的作用和Run、RunOnce是一樣的,是Run、RunOnce的擴充形式。
(9)注冊表項HKEY_LOCAL_MACHINESoftwareMicrosoft WindowsCurrentVersion下的Run、RunOnce、RunEx和RunOnceEx子項(適用于Windows 9x/Me/NT/2000/XP)
該項和HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersion下的Run、RunOnce、RunEx和RunOnceEx作用一樣,不同之處在于,由于它位于HKEY_LOCAL_ MACHINE下,所以它將應用于所有的用戶。在啟動順序上,系統首先啟動HKEY_LOCAL_MACHINE下定義的啟動項目,再去啟動HKEY_CURRENT_USER下定義的啟動項目。
我們需要檢查的是,對于默認情況以外定義的程序,需要檢查其對應的軟件。很多軟件將自動啟動程序放在注冊表中的這個位置。例如Norton Antivirus防毒軟件,就會在注冊表項HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionRun下新建一個值項NPS Event Checker,值為C:PROGRA~1Navnt npscheck.exe。
下表中列出了默認情況下,Windows系統中Run下的自動運行項目。
(10)檢查非注冊表部分
首先檢查啟動文件和磁盤引導扇區。對于Windows 9x/Me,啟動文件是啟動盤目錄下的IO.sys和Command.com文件。同時,還包括Autoexec.bat文件中定義的程序文件,以及Config.sys文件中裝載的程序文件。對于Windows NT/2000/XP,啟動文件是啟動盤目錄下的Ntldr,Ntdetect.com、Ntbootdd.sys(如果boot.ini文件使用SCSI語法)、Bootsect.dos(如果使用了多重啟動,對應于啟動到DOS環境),以及Winnt目錄下的Ntoskrnl.exe(核心程序文件)和Hal.dll(硬件抽象層)。
其次,對于Windows 9x,還需要檢查Win.ini文件和System.ini文件。Win.ini文件中的"run="和"load="行,定義了Windows 9x啟動時需要裝載的程序。
最后,需要檢查"開始"菜單中"程序"中的"啟動"程序組,"啟動"程序組中存放了Windows正常啟動起來后,需要啟動的程序。
8.禁止舊版本的"自動運行"程序列表(適用范圍:Windows 2000/XP)
注冊表項HKEY_LOCAL_MACHINE_SoftwareMicrosoftWindowsCurrentVersionRun和HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce下存放的是"自動運行"的程序列表,它們是舊版本的"自動運行"程序列表,在Windows95/98/NT中就已經有了。在注冊表中有兩個值項,可以禁止這兩個舊版本列表起作用,替代它們的是RunEx和RunOnceEx注冊表項。
這兩個值項位于注冊表項HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer下。
9.禁止遠程訪問光盤和軟盤(適用范圍:Windows NT/2000/XP)
在C2級別的安全要求中,必須對可移動介質的安全作保護,它要求當本地用戶在使用計算機時,光盤和軟盤稱為本地用戶的專有資源,網絡上的其他用戶,包括系統管理員,都不能夠訪問光盤和軟盤。這是因為此時使用的可移動介質,通常是本地用戶私人的,因此不應該給其他人看到。 下表的值項存放在注冊表項HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogon中。
10.設定口令的最小長度(適用范圍:Windows 9x/Me/NT/2000/XP)
默認情況下,口令可以設置為空。為了加強安全性,我們可以強行指定口令的最小長度。
在注冊表項HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesNetwork下,創建二進制類型的值項MinPwdLen,并修改其值為口令的長度,例如6。這樣,用戶在設定口令時,最少要設定6位的長度。
