查看單個文章
舊 2006-02-12, 05:13 AM   #16 (permalink)
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

1.99.1版新加入的O20 此回覆內容原創

O20除了能檢測AppInit_DLLs之外,在1.99.1版還新加入了WINLOGON NOTIFY註冊表鍵值的檢測。

1. 項目說明:
此註冊表鍵能在系統啟始時將DLL文件載入到記憶體中,並且讓該DLL載入於記憶體中直到關機。除了WINDOWS系統自身的幾個元件外,一些如VX2,ABETTERINTERNET和LOOK2ME等惡意程序也會使用此鍵值。

2. 舉例:O20 - Winlogon Notify: WB - K:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\fastload.dll 此為STARDOCK公司出品的WINDOWBLINDS系統主題取代軟體的正常載入DLL

3. 一般建議:已知如VX2,ABETTERINTERNET和LOOK2ME等惡意程序會修改此註冊表值使用自身的DLL,一般用戶如果見到不熟悉的DLL,請小心處理。已知WINDOWBLINDS和新版的INTEL板載顯示卡驅動會使用此鍵值(文件為IGFXSRVC.DLL),INTEL無線網路卡程序(LgNotify.dll)。
__________________
http://bbsimg.qianlong.com/upload/01/08/29/68/1082968_1136014649812.gif
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次