現(xiàn)在人們總會(huì)遇到這樣地情況,某天打開(kāi)自己mail中的一個(gè)附件,因?yàn)槟莻€(gè)mail的地址和自己一個(gè)同事的地址很像,因此沒(méi)有多考慮就將附件下載打開(kāi)了。不想這個(gè)附件是個(gè)病毒,它讓自己的機(jī)器變的很慢,殺毒之后也沒(méi)有太大作用。
其實(shí),病毒、木馬、和一些惡意軟件,往往都會(huì)對(duì)Widnows的注冊(cè)表下毒手,雖然破壞形式不盡相同,但是經(jīng)過(guò)分析它們的破壞手法并非無(wú)規(guī)律可循。這里列出了一些用戶系統(tǒng)中被易被修改的系統(tǒng)設(shè)置和注冊(cè)表項(xiàng)。建議再換用其他木馬專殺工具試一下,并再針對(duì)以下注冊(cè)表鍵值進(jìn)行檢查,看看是否有被改動(dòng)過(guò)的跡象。
系統(tǒng)設(shè)置文件
對(duì)于Widnows 9X系統(tǒng),常見(jiàn)的是病毒修改可能會(huì)更改autoexec.bat,只要在其中加入執(zhí)行病毒程序文件的語(yǔ)句即可在系統(tǒng)啟動(dòng)時(shí)自動(dòng)激活病毒。*更改drive:\windows\win.ini或者system.ini文件。病毒通常會(huì)在win.ini的“run=”后面加入病毒自身的文件名,或者在system.ini文件中將“shell=”更改。
注冊(cè)表鍵值
目前,只要新出的蠕蟲(chóng)/特洛伊類病毒一般都有修改系統(tǒng)注冊(cè)表的動(dòng)作。它們修改的位置一般有以下幾個(gè)地方:
在系統(tǒng)啟動(dòng)時(shí)自動(dòng)執(zhí)行的程序
|
在系統(tǒng)啟動(dòng)時(shí)自動(dòng)執(zhí)行的系統(tǒng)服務(wù)程序
|
在系統(tǒng)啟動(dòng)時(shí)自動(dòng)執(zhí)行的程序,這是病毒最有可能修改/添加的地方
|
說(shuō)明:此鍵值能使病毒在用戶運(yùn)行任何EXE程序時(shí)被運(yùn)行,以此類推,..\txtfile\.. 或者 ..\comfile\.. 也可被更改,以便實(shí)現(xiàn)病毒自動(dòng)運(yùn)行的功能。
另外,有些健值還可能被利用來(lái)實(shí)現(xiàn)比較特別的功能:
有些病毒會(huì)通過(guò)修改下面的鍵值來(lái)阻止用戶查看和修改注冊(cè)表:
|
為了阻止用戶利用.REG文件修改注冊(cè)表鍵值,以下鍵值也會(huì)被修改來(lái)顯示一個(gè)內(nèi)存訪問(wèn)錯(cuò)誤窗口。
例如:Win32.Swen.B 病毒 會(huì)將缺省健值修改為:
|
通過(guò)對(duì)以上地方的修改,病毒程序主要達(dá)到的目的是在系統(tǒng)啟動(dòng)或者程序運(yùn)行過(guò)程中能夠自動(dòng)被執(zhí)行,已達(dá)到自動(dòng)激活的目的。
