史萊姆論壇

返回   史萊姆論壇 > 教學文件資料庫 > 作業系統操作技術文件
忘記密碼?
論壇說明 標記討論區已讀

歡迎您來到『史萊姆論壇』 ^___^

您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的!

請點擊這裡:『註冊成為我們的一份子!』

Google 提供的廣告


 
 
主題工具 顯示模式
舊 2006-02-08, 12:31 AM   #1
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設 Windows 啟動方式總結歸納

首先先說說最簡單的檢視啟動項目的方法吧.[開始]---[執行]---輸入: 「Msconfig」,不包括引號---[Enter鍵開啟]---選項[啟動]---便可檢視啟動項目.



一.自啟動項目:
開始---程序---啟動,裡面增加一些應用程式或者建立捷逕.
這是Windows 裡面最一般,以及套用最簡單的啟動方式,如果想一些文件開機時候啟動,那麼也可以將他拖入裡面或者建立建立捷逕拖入裡面.現在一般的病毒不會採取這樣的啟動手法.也有個別會.

二. 第二自啟動項目:
這個是很明顯卻被人們所忽略的一個,使用方法和第一自啟動目錄是完全一樣的, 只要找到該目錄,將所需要啟動的文件拖放進去就可以達到啟動的目的.
路徑:
C:\Documents and Settings\User\「開始」表單\程序\啟動

三. 系統組態文件啟動:
對於系統組態文件,許多人一定很陌生,許多病毒都是以這種方式啟動.

1)WIN.INI啟動:
啟動位置(xxx.exe為要啟動的檔案名稱):
攆windows]
殯oad=xxx.exe[這種方法文件會在後台執行]
run=xxx.exe[這種方法文件會在預設狀態下被執行]

2)SYSTEM.INI啟動:
啟動位置(xxx.exe為要啟動的檔案名稱):
繒w設為:
攆boot]
壘hell=Explorer.exe [Explorer.exe是Windows程序管理器或者Windows檔案總管,屬於正常]
瞼i啟動檔案後為:
攆boot]
壘hell= Explorer.exe xxx.exe [現在許多病毒會採用此啟動方式,隨著Explorer啟動, 隱蔽性很好]
注意: SYSTEM.INI和WIN.INI文件不同,SYSTEM.INI的啟動只能啟動一個指定文件,不要把Shell=Explorer.exe xxx.exe換為Shell=xxx.exe,這樣會使Windows癱瘓!

3) WININIT.INI啟動:
WinInit即為Windows Setup Initialization Utility, 中文:Windows安裝啟始化工具.
它會在系統安裝載入Windows之前讓系統執行一些指令,包括複製,移除,重新命名等,以完成更新文件的目的.
文件格式:
攆rename]
獷xx1=xxx2
繚N思是把xxx2文件複製為檔案名為xxx1的文件,相當於覆蓋xxx1文件
如果要把某文件移除,則可以用以下指令:
[rename]
瀋ul=xxx2
以上檔案名都必須包含完整路徑.

4) WINSTART.BAT啟動:
這是系統啟動的批次處理文件,主要用來複製和移除文件.如一些軟體卸載後會剩餘一些殘留物在系統,這時它的作用就來了.
如:
癒u@if exist C:\WINDOWS\TEMPxxxx.BAT call C:\WINDOWS\TEMPxxxx.BAT」
這裡是執行xxxx.BAT文件的意思

5) USERINIT.INI啟動[2/2補充]:
這種啟動方式也會被一些病毒作為啟動方式,與SYSTEM.INI相同.

6) AUTOEXEC.BAT啟動:
這個是常用的啟動方式.病毒會通過它來做一些動作. 在AUTOEXEC.BAT文件中會包含有惡意程式碼。如format c: /y 等等其它.

四. 註冊表啟動:
通過註冊表來啟動,是WINDOWS中使用最頻繁的一種.
-----------------------------------------------------------------------------------------------------------------
其中%xxx%為任意路徑,xxx.exe為要執行的程序. [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\Anything\"=\"%xxx%xxx.exe\]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]
\"Anything\"=\"%xxx%xxx.exe\"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
\"Anything\"=\"%xxx%xxx.exe\"
[HKEY_LOCAL_MACHINE\Software\Microsof\tWindows\CurrentVersion\RunOnce]
\"Anything\"=\"%xxx%xxx.exe\"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
\"Whatever\"=\"c:runfolderprogram.exe\"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
\"Whatever\"=\"c:runfolderprogram.exe\"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\[基預設值為Explorer.exe,也可以被某些木馬改寫]
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\xxx[xxx為某服務項目]
HKEY_LOCAL_MACHINE\System\ControlSet001\Session Manager\BootExecute[XP預設值為:autocheck autochk *,是系統啟動自我檢驗查,具有很高優先等級.以上是Windows XP的路徑]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\BootExecute[預設值為autocheck autochk *,這是Windows XP以下版本操作系統的路徑]
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\本機User\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run[這個是原則組載入程序,即用戶登入Windows時候所啟動的程序]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\[這個是瀏覽器載入項目]
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\裡面的AppInit_DLLs[會把DLL插入一些有用的工作,如"木馬剋星"]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify[一些廣告程序,惡意程序會用到它.正常的程序也會用到它,例如Arcavir和TPF]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx[RunOnceEx的基本功能和RunOnce類似,即執行程序一次,但語法和使用上略有不同,可以參考微軟的Knowledge Base的文章:「Q232509 yntax for the RunOnceEx Registry Key」[http://support.microsoft.com/support...的Knowledge Base的文章:「Q232487 escription of RunOnceEx and RunEx Registry Keys」[http://support.microsoft.com/support/kb/articles/Q232/4/87.asp].而RunServices是為了使用後台執行的服務程序的,它們可以在登入前執行。但不是所有程式都可以作為服務程序執行.]
注意:
1.如果要執行.dll文件,則需要特殊的指令:
xxx.exe C:WINDOWSxxx.DLL,xxx
2. 如果只想不啟動而保留鍵值,只需在該鍵值加入rem即可

五.其他啟動方式:
(1).C:\Explorer.exe啟動方式:
這種啟動方式很少人知道.
在Win9X下,由於SYSTEM.INI只指定了Windows的外殼文件Explorer.exe的名稱,而並沒有指定絕對路徑,所以Win9X會搜尋Explorer.exe文件.
搜尋順序如下:
(1).繚j尋當前目錄.
(2).礎p果沒有搜尋到Explorer.exe則系統會獲取
攆HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Executive\Path]的訊息獲得相對路徑.
(3).礎p果還是沒有文件系統則會獲取[HKEY_CURRENT_USER\Environment\Path]的訊息獲得相對路徑.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Executive\Path]和[HKEY_CURRENT_USER\Environment\Path]所儲存的相對路徑的鍵值為:「%SystemRoot%System32;%SystemRoot%」和空.
所以,由於當系統啟動時,「當前目錄」肯定是%SystemDrive%(系統驅動器),這樣系統搜尋Explorer.EXE的順序應該是:
(1).%SystemDrive%(例如C:\)
(2).%SystemRoot%System32(例如C:\WINNT\SYSTEM32)
(3).%SystemRoot%(例如C:\WINNT)
此時,如果把一個名為Explorer.EXE的文件放到系統根目錄下,這樣在每次啟動的時候系統就會自動先啟動根目錄下的Explorer.exe而不啟動Windows目錄下的Explorer.exe了.
礎bWinNT系列下,WindowsNT/Windows2000更加注意了Explorer.exe的檔案名放置的位置,把系統啟動時要使用的外殼文件(Explorer.exe)的名稱放到了:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Shell] 而在Windows 2000 SP2中微軟已經更改了這一方式.

(2).螢幕保護啟動方式:
Windows 螢幕保護程序是一個*.scr文件,是一個可執行PE文件,如果把螢幕保護程序*.scr重新命名為*.exe的文件,這個程序仍然可以正常啟動,類似的*.exe文件更名為*.scr文件也仍然可以正常啟動.
文件路徑儲存在System.ini中的SCRNSAVE.EXE=的這條中.如: SCANSAVE.EXE=/%system32% xxxx.scr
這種啟動方式具有一定危險.

(3).計劃工作啟動方式:
Windows 的計劃工作功能是指某個程序在某個特指時間啟動.這種啟動方式隱蔽性相當不錯.
[開始]---[程序]---[附件]---[系統工具]---[計劃工作],按照一步步順序操作即可.

(4).AutoRun.inf的啟動方式:
Autorun.inf這個文件出現於光碟載入的時候,放入光碟時,光碟會根據這個文件內容來確定是否開啟光碟裡面的內容.
Autorun.inf的內容通常是:
攆AUTORUN]
叢PEN=檔案名.exe
點CON=icon(圖示文件).ico
1.如一個木馬,為xxx.exe.那麼Autorun.inf則可以如下:
OPEN=Windows\xxx.exe
ICON=xxx.exe
這時,每次雙按C碟的時候就可以執行木馬xxx.exe.

2.如把Autorun.inf放入C碟根目錄裡,則裡面內容為:
OPEN=D:\xxx.exe
ICON=xxx.exe
這時,雙按C碟則可以執行D碟的xxx.exe

(5).更改副檔名啟動方式:
更改副檔名*.exe)
如:*.exe的文件可以改為:*.bat,*.scr等副檔名來啟動.

六.Vxd虛擬設備驅動啟動方式:
應用程式通過動態載入的VXD虛擬設備驅動,而去的Windows 9X系統的操控權(VXD虛擬設備驅動只適用於Windows 95/98/Me).
可以用來管理例如硬體設備或者已安裝軟體等系統資源的32位可執行程序,使得幾個應用程式可以同時使用這些資源.

七.Service[服務]啟動方式:
[開始]---[執行]---輸入"services.msc",不帶引號---即可對服務項目的操作.
在「服務啟動方式」選項下,可以設定系統的啟動方式:程序開始時自動執行,還是手動執行,或者永久停止啟動,或者暫停(重新啟動後依舊會啟動).
註冊表位置:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services
通過服務來啟動的程序,都是在後台執行,例如大陸木馬"灰鴿子"就是利用此啟動方式來達到後台啟動,竊取用戶訊息.

八.驅動程式啟動方式:
有些病毒會偽裝成硬體的驅動程式,從而達到啟動的目的.
1.系統原有的的驅動程式.[指直接使用操作系統原有的的標準程序來啟動]
2.硬體原有的的驅動程式.[指使用硬體原有的的標準程序來啟動]
3.病毒本身偽裝的驅動程式.[指病毒本身偽裝的標準程序來啟動]


另外找到一處與XP不同:HKEY_LOCAL_MACHINE\System\ControlSet001\Session Manager\[預設值為:"autocheck autochk *",是系統啟動自我檢驗查,具有很高優先等級.]
應為:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager下的BootExecute資料為autocheck autochk *
建議把制作備份ControlSet002也增加進去~~~
上面應該說還不夠全面 少了些
先說一項 病毒如果放好檔 改好註冊表等動作 下"關機指令" 如果關機沒法攔截 因為沒法救 下次開機就中毒

總的來說是一些很一般的病毒所採用的手段,但是現在的病毒越來越厲害了!
__________________
http://bbsimg.qianlong.com/upload/01/08/29/68/1082968_1136014649812.gif
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
 


主題工具
顯示模式

發表規則
不可以發文
不可以回覆主題
不可以上傳附加檔案
不可以編輯您的文章

論壇啟用 BB 語法
論壇啟用 表情符號
論壇啟用 [IMG] 語法
論壇禁用 HTML 語法
Trackbacks are 禁用
Pingbacks are 禁用
Refbacks are 禁用


所有時間均為台北時間。現在的時間是 09:36 PM


Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2024, Jelsoft Enterprises Ltd.


SEO by vBSEO 3.6.1