深一集團40%的客戶來自外地,80%的業務來自搜索引擎和良好口碑!
微信 微信人工客服  |
微信人工客服
QQ在線溝通

新聞中心

全國業務咨詢請致電

400-666-2014

為您打響品牌第一炮
  • 在線QQ
  • 在線客服
  • 在線留言
病毒程序和木馬經常修改的系統文件和注冊表
發布日期:2009-03-20   關鍵詞:深圳蓮花山,深圳梧桐山   已有 4851 人瀏覽

  從計算機病毒的發展趨勢來看,蠕蟲和木馬類的病毒越來越多。與普通感染可執行文件的文件型病毒不同,此類程序通常不感染正常的系統文件,而是將自身作為系統的一部分安裝到系統中。相對來說,此類病毒的隱蔽性更強一些,更不容易被使用者發覺。

  但是無論什么樣的病毒程序在感染系統時都會留下一些蛛絲馬跡。在此我們總結一下各種病毒可能會更改的地方,以便能夠更快速地找到它們。

  一、更改系統的相關配置文件

  這種情況主要是針對老系統。

  病毒可能會更改autoexec.bat,只要在其中加入執行病毒程序文件的語句即可在系統啟動時自動激活病毒。*更改drive:\windows\win.ini或者system.ini文件。病毒通常會在win.ini的“run=”后面加入病毒自身的文件名,或者在system.ini文件中將“shell=”更改。

  二、更改注冊表健值

  目前,只要新出的蠕蟲/特洛伊類病毒一般都有修改系統注冊表的動作。它們修改的位置一般有以下幾個地方:

  HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\

  說明:在系統啟動時自動執行的程序

  HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\

  說明:在系統啟動時自動執行的系統服務程序

  HKLM\Software\Microsoft\Windows\CurrentVersion\Run\

  說明:在系統啟動時自動執行的程序,這是病毒最有可能修改/添加的地方。 例如:Win32.Swen.B病毒將增加:HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ucfzyojza= “cxsgrhcl.exe autorun”

  HKEY_CLASSES_ROOT\exefile\shell\open\command

  說明:此鍵值能使病毒在用戶運行任何EXE程序時被運行,以此類推,..\txtfile\.. 或者 ..\comfile\.. 也可被更改,以便實現病毒自動運行的功能。

  另外,有些健值還可能被利用來實現比較特別的功能:

  有些病毒會通過修改下面的鍵值來阻止用戶查看和修改注冊表:

  HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools =

  為了阻止用戶利用.REG文件修改注冊表鍵值,以下鍵值也會被修改來顯示一個內存訪問錯誤窗口

  例如:Win32.Swen.B 病毒 會將缺省健值修改為:

  HKCR\regfile\shell\open\command\(Default) = “cxsgrhcl.exe showerror”

  通過對以上地方的修改,病毒程序主要達到的目的是在系統啟動或者程序運行過程中能夠自動被執行,已達到自動激活的目的。

 

 

做網站    建網站    龍崗網站建設    羅湖網站維護    福田網頁設計

注:本文來自深一集團原創或轉截 http://www.qcasyl.live/newslist_807_2.html 如需轉載,請注明出處!
0
深一網絡公司專注設計14年
全國網站建設
深一云服務器深一云服務器
高性能,高安全
網絡公司拒絕不當利
崇尚野蠻生長
500強企業網500強企業網
站建設供應商
10000家客戶案例10000家客戶案
實力說服力
83位技術團隊83位技術團隊
服務高保障
深一只做有排名網站只做有排名
有價值的網站
200人服務團隊200人服務團隊
追求客戶滿意
新疆时时彩走势分析 球探手机比分网足球即时比分直播.! 22选5中3个号多少钱 手机打麻将怎么才能 浙江20选5中奖规则及奖金 老快3 世界杯比分表 巴西 加拿大西部快乐8开奖 中国股票交易规则 王中王精选一肖一码2020 谁有宝博的下载 通化大嘴棋牌官网 中原河南麻将手机版 天津十一选五开奖 上证指数20年走势图 即时比分007手机版 加拿大快乐8骗局