從計算機病毒的發展趨勢來看,蠕蟲和木馬類的病毒越來越多。與普通感染可執行檔案的檔案型病毒不同,此類程式通常不感染正常的系統檔案,而是將自身作為系統的一部分安裝到系統中。相對來說,此類病毒的隱蔽性更強一些,更不容易被使用者發覺。
但是無論什麼樣的病毒程式在感染系統時都會留下一些蛛絲馬跡。在此我們總結一下各種病毒可能會更改的地方,以便能夠更快速地找到它們。
一、更改系統的相關配置檔案。這種情況主要是針對95/98系統。
病毒可能會更改autoexec.bat,只要在其中加入執行病毒程式檔案的語句即可在系統啟動時自動啟用病毒。*更改drive:/windows/win.ini或者system.ini檔案。病毒通常會在win.ini的「run=」後面加入病毒自身的檔名,或者在system.ini檔案中將「shell=」更改。
二、更改登錄檔健值。
目前,只要新出的蠕蟲/特洛伊類病毒一般都有修改系統登錄檔的動作。它們修改的位置一般有以下幾個地方:
hklm/software/microsoft/windows/currentversion/runonce/
說明:在系統啟動時自動執行的程式
hklm/software/microsoft/windows/currentversion/ru ervices/
說明:在系統啟動時自動執行的系統服務程式
hklm/software/microsoft/windows/currentversion/run/
說明:在系統啟動時自動執行的程式,這是病毒最有可能修改/新增的地方。 例如:win.swen.b病毒將增加:hklm/software/microsoft/windows/currentversion/run/ucfzyojza= "cxsgrhcl.exe autorun"
hkey_cla es_root/exefile/shell/open/command
說明:此鍵值能使病毒在使用者執行任何exe程式時被執行,以此類推,../txtfile/.. 或者 ../comfile/.. 也可被更改,以便實現病毒自動執行的功能。
另外,有些健值還可能被利用來實現比較特別的功能:
有些病毒會通過修改下面的鍵值來阻止使用者檢視和修改登錄檔:
hkcu/software/microsoft/windows/currentversion/policies/
system/disableregistrytools =
為了阻止使用者利用.reg檔案修改登錄檔鍵值,以下鍵值也會被修改來顯示乙個記憶體訪問錯誤視窗
例如:win.swen.b 病毒 會將預設健值修改為:
hkcr/regfile/shell/open/command/(default) = "cxsgrhcl.exe showerror"
通過對以上地方的修改,病毒程式主要達到的目的是在系統啟動或者程式執行過程中能夠自動被執行,已達到自動啟用的目的。
常用系統配置和命令
1.檔案系統層次結 構了解linux 程式安裝配置的基 礎,要看看。詳細使用參考 掛 載光碟機mount t iso9660 o iocharset cp936 dev cdrom掛載 iso檔案 mount t iso9660 o loop,iocharset cp936 home isofile...
突變 mongoose os的系統配置API改變
breaking sys config api change fields directly,e.g.instead of get cfg update.timeout it should be mgos sys config get update timeout to get the curren...
Linux系統配置靜態IP的方式
首先,我的linux系統是在本地的vmware虛擬機器中,網路連線方式為nat 網路位址轉換 模式。使用nat模式,虛擬機器內的linux系統可以借助宿主主機訪問公網 也即網際網路 前提是lniux系統虛擬機器可以與宿主主機的vmnet8虛擬網 信。第一步 在linux系統命令行控制台中執行vi e...