黑客經常更改的系統組態文件及註冊表

psac · 2005-12-28, 01:28 AM

目前，從電腦病毒的發展趨勢來看，蠕蟲/特洛伊類的病毒越來越多。與普通感染可執行文件的文件型病毒不同，此類程序通常不感染正常的系統檔案，而是將自身作為系統的一部分安裝到系統中。相對來說，此類病毒的隱蔽性更強一些，更不容易被使用者發覺。

　　但是無論什麼樣的病毒程序在感染系統時都會留下一些蛛絲馬跡。在此我們總結一下各種病毒可能會更改的地方，以便能夠更快速地找到它們。

　　一、更改系統的相關組態文件。這種情況主要是針對95/98系統。

　　*病毒可能會更改autoexec.bat，只要在其中加入執行病毒程式文件的語句即可在系統啟動時自動啟動病毒。*更改drive:\windows\win.ini或者system.ini文件。病毒通常會在win.ini的「run=」後面加入病毒自身的檔案名，或者在system.ini文件中將「shell=」更改。

　　二、更改註冊表鍵值。

　　目前，只要新出的蠕蟲/特洛伊類病毒一般都有修改系統註冊表的動作。它們修改的位置一般有以下幾個地方：

　　HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\

　　說明：在系統啟動時自動執行的程式

　　HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\

　　說明：在系統啟動時自動執行的系統服務程序

　　HKLM\Software\Microsoft\Windows\CurrentVersion\Run\

　　說明：在系統啟動時自動執行的程式，這是病毒最有可能修改/增加的地方。例如：Win32.Swen.B病毒將增加：HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ucfzyojza= "cxsgrhcl.exe autorun"

　　HKEY_CLASSES_ROOT\exefile\shell\open\command

　　說明：此鍵值能使病毒在用戶執行任何EXE程序時被執行，以此類推，..\txtfile\.. 或者 ..\comfile\.. 也可被更改，以便實現病毒自動執行的功能。

　　另外，有些鍵值還可能被利用來實現比較特別的功能：

　　*有些病毒會通過修改下面的鍵值來阻止用戶檢視和修改註冊表：

　　HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\

　　System\DisableRegistryTools =

　　*為了阻止用戶利用.REG文件修改註冊表鍵值，以下鍵值也會被修改來顯示一個記憶體訪問錯誤視窗

　　例如：Win32.Swen.B 病毒會將預設鍵值修改為：

　　HKCR\regfile\shell\open\command\(Default) = "cxsgrhcl.exe showerror"

　　通過對以上地方的修改，病毒程序主要達到的目的是在系統啟動或者程序執行程序中能夠自動被執行，已達到自動啟動的目的。

kyoshih · 2005-12-28, 09:52 PM

謝謝大大無私的分享!!

psac · 2006-02-24, 02:42 PM

兩種巧妙招數殺死電腦病毒工作

在這裡為大家提供兩則小技巧，以便幫你強行殺死「頑固不化」的病毒工作。

　　根據工作名查殺

　　這種方法是通過WinXP系統下的taskkill指令來實現的，在使用該方法之前，首先需要開啟系統的工作列表界面，找到病毒工作所對應的具體工作名。

　　接著依次按下「開始→執行」指令，在彈出的系統執行項中，執行「cmd」指令；再在DOS指令行中輸入「taskkill /im aaa」格式的字元串指令，按下Enter鍵鍵後，頑固的病毒工作「aaa」就被強行殺死了。比方說，要強行殺死「conime.exe」病毒工作，只要在命令提示字元下執行「taskkill /im conime.exe」指令，要不了多久，系統就會自動返回結果。

　　根據工作號查殺

　　上面的方法，只對部分病毒工作有效，遇到一些更「頑固」的病毒工作，可能就無濟於事了。此時你可以通過Win2000以上系統的內裝指令——ntsd，來強行殺死一切病毒工作，因為該指令除System工作、SMSS.EXE工作、CSRSS.EXE工作不能「對付」外，基本可以對付其它一切工作。但是在使用該指令殺死病毒工作之前，需要先搜尋到對應病毒工作的具體工作號。

　　考慮到系統工作列表界面在預設狀態下，是不顯示具體工作號的，因此你可以首先開啟系統工作管理器視窗，再按下「檢視」功能表項下面的「選項列」指令，在彈出的設定項中，將「PID（工作標誌符）」選項選，按下「確定」按鈕。返回到系統工作列表頁面中後，你就能檢視到對應病毒工作的具體PID了。

　　接著開啟系統執行對話視窗，在其中執行「cmd」指令，在命令提示字元狀態下輸入「ntsd -c q -p PID」指令，就可以強行將指定PID的病毒工作殺死了。例如，發現某個病毒工作的PID為「444」，那麼可以執行「ntsd -c q -p 444」指令，來殺死這個病毒工作。

2005-12-28, 01:28 AM	#1
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	黑客經常更改的系統組態文件及註冊表目前，從電腦病毒的發展趨勢來看，蠕蟲/特洛伊類的病毒越來越多。與普通感染可執行文件的文件型病毒不同，此類程序通常不感染正常的系統檔案，而是將自身作為系統的一部分安裝到系統中。相對來說，此類病毒的隱蔽性更強一些，更不容易被使用者發覺。　　但是無論什麼樣的病毒程序在感染系統時都會留下一些蛛絲馬跡。在此我們總結一下各種病毒可能會更改的地方，以便能夠更快速地找到它們。　　一、更改系統的相關組態文件。這種情況主要是針對95/98系統。　　病毒可能會更改autoexec.bat，只要在其中加入執行病毒程式文件的語句即可在系統啟動時自動啟動病毒。更改drive:\windows\win.ini或者system.ini文件。病毒通常會在win.ini的「run=」後面加入病毒自身的檔案名，或者在system.ini文件中將「shell=」更改。　　二、更改註冊表鍵值。　　目前，只要新出的蠕蟲/特洛伊類病毒一般都有修改系統註冊表的動作。它們修改的位置一般有以下幾個地方：　　HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\ 　　說明：在系統啟動時自動執行的程式　　HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\ 　　說明：在系統啟動時自動執行的系統服務程序　　HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ 　　說明：在系統啟動時自動執行的程式，這是病毒最有可能修改/增加的地方。例如：Win32.Swen.B病毒將增加：HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ucfzyojza= "cxsgrhcl.exe autorun" 　　HKEY_CLASSES_ROOT\exefile\shell\open\command 　　說明：此鍵值能使病毒在用戶執行任何EXE程序時被執行，以此類推，..\txtfile\.. 或者 ..\comfile\.. 也可被更改，以便實現病毒自動執行的功能。　　另外，有些鍵值還可能被利用來實現比較特別的功能：　　有些病毒會通過修改下面的鍵值來阻止用戶檢視和修改註冊表：　　HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\ 　　System\DisableRegistryTools = 　　為了阻止用戶利用.REG文件修改註冊表鍵值，以下鍵值也會被修改來顯示一個記憶體訪問錯誤視窗　　例如：Win32.Swen.B 病毒會將預設鍵值修改為：　　HKCR\regfile\shell\open\command\(Default) = "cxsgrhcl.exe showerror" 　　通過對以上地方的修改，病毒程序主要達到的目的是在系統啟動或者程序執行程序中能夠自動被執行，已達到自動啟動的目的。
	__________________
	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次

2005-12-28, 09:52 PM	#2 (permalink)
kyoshih 註冊會員榮譽勳章勳章總數2 UID - 4587 在線等級: 註冊日期: 2002-12-07 VIP期限: 2011-05 文章: 618 精華: 0 現金: -120 金幣資產: 3516 金幣	謝謝大大無私的分享!!

	送花文章: 206, 收花文章: 36 篇, 收花: 76 次

2006-02-24, 02:42 PM	#3 (permalink)
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	兩種巧妙招數殺死電腦病毒工作在這裡為大家提供兩則小技巧，以便幫你強行殺死「頑固不化」的病毒工作。　　根據工作名查殺　　這種方法是通過WinXP系統下的taskkill指令來實現的，在使用該方法之前，首先需要開啟系統的工作列表界面，找到病毒工作所對應的具體工作名。　　接著依次按下「開始→執行」指令，在彈出的系統執行項中，執行「cmd」指令；再在DOS指令行中輸入「taskkill /im aaa」格式的字元串指令，按下Enter鍵鍵後，頑固的病毒工作「aaa」就被強行殺死了。比方說，要強行殺死「conime.exe」病毒工作，只要在命令提示字元下執行「taskkill /im conime.exe」指令，要不了多久，系統就會自動返回結果。　　根據工作號查殺　　上面的方法，只對部分病毒工作有效，遇到一些更「頑固」的病毒工作，可能就無濟於事了。此時你可以通過Win2000以上系統的內裝指令——ntsd，來強行殺死一切病毒工作，因為該指令除System工作、SMSS.EXE工作、CSRSS.EXE工作不能「對付」外，基本可以對付其它一切工作。但是在使用該指令殺死病毒工作之前，需要先搜尋到對應病毒工作的具體工作號。　　考慮到系統工作列表界面在預設狀態下，是不顯示具體工作號的，因此你可以首先開啟系統工作管理器視窗，再按下「檢視」功能表項下面的「選項列」指令，在彈出的設定項中，將「PID（工作標誌符）」選項選，按下「確定」按鈕。返回到系統工作列表頁面中後，你就能檢視到對應病毒工作的具體PID了。　　接著開啟系統執行對話視窗，在其中執行「cmd」指令，在命令提示字元狀態下輸入「ntsd -c q -p PID」指令，就可以強行將指定PID的病毒工作殺死了。例如，發現某個病毒工作的PID為「444」，那麼可以執行「ntsd -c q -p 444」指令，來殺死這個病毒工作。

	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次

Google 提供的廣告