從計(jì)算機(jī)病毒的發(fā)展趨勢來看�����,蠕蟲和木馬類的病毒越來越多��。與普通感染可執(zhí)行文件的文件型病毒不同����,此類程序通常不感染正常的系統(tǒng)文件���,而是將自身作為系統(tǒng)的一部分安裝到系統(tǒng)中。相對來說����,此類病毒的隱蔽性更強(qiáng)一些,更不容易被使用者發(fā)覺���。
但是無論什么樣的病毒程序在感染系統(tǒng)時(shí)都會留下一些蛛絲馬跡����。在此我們總結(jié)一下各種病毒可能會更改的地方���,以便能夠更快速地找到它們���。
一、更改系統(tǒng)的相關(guān)配置文件
這種情況主要是針對老系統(tǒng)�。
病毒可能會更改autoexec.bat,只要在其中加入執(zhí)行病毒程序文件的語句即可在系統(tǒng)啟動時(shí)自動激活病毒����。*更改drive:\windows\win.ini或者system.ini文件。病毒通常會在win.ini的"run="后面加入病毒自身的文件名,或者在system.ini文件中將"shell="更改���。
二�����、更改注冊表健值
目前���,只要新出的蠕蟲/特洛伊類病毒一般都有修改系統(tǒng)注冊表的動作���。它們修改的位置一般有以下幾個(gè)地方:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\
說明:在系統(tǒng)啟動時(shí)自動執(zhí)行的程序
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
說明:在系統(tǒng)啟動時(shí)自動執(zhí)行的系統(tǒng)服務(wù)程序
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
說明:在系統(tǒng)啟動時(shí)自動執(zhí)行的程序��,這是病毒最有可能修改/添加的地方��。 例如:Win32.Swen.B病毒將增加:HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ucfzyojza= "cxsgrhcl.exe autorun"
HKEY_CLASSES_ROOT\exefile\shell\open\command
說明:此鍵值能使病毒在用戶運(yùn)行任何EXE程序時(shí)被運(yùn)行���,以此類推,..\txtfile\.. 或者 ..\comfile\.. 也可被更改�����,以便實(shí)現(xiàn)病毒自動運(yùn)行的功能���。
另外�����,有些健值還可能被利用來實(shí)現(xiàn)比較特別的功能:
有些病毒會通過修改下面的鍵值來阻止用戶查看和修改注冊表:
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools =
為了阻止用戶利用.REG文件修改注冊表鍵值���,以下鍵值也會被修改來顯示一個(gè)內(nèi)存訪問錯(cuò)誤窗口
例如:Win32.Swen.B 病毒 會將缺省健值修改為:
HKCR\regfile\shell\open\command\(Default) = "cxsgrhcl.exe showerror"
通過對以上地方的修改����,病毒程序主要達(dá)到的目的是在系統(tǒng)啟動或者程序運(yùn)行過程中能夠自動被執(zhí)行�,已達(dá)到自動激活的目的?����!?/p>
關(guān)鍵詞標(biāo)簽:蠕蟲木馬,注冊表,系統(tǒng)
