剔除系統啟動項暗藏威脅

sou7發表於2016-11-02

  我們知道,Windows中有自帶的啟動資料夾,它是最常見的啟動專案,但很多人卻很少注意仔細檢查它。 如果把程式裝入到這個資料夾中,系統啟動就會自動地載入相應程式,而且因為它是暴露在外的,所以非常容易被外在的因素更改。

  一、具體的位置是“開始”選單中的“啟動”選項

  在硬碟上的位置是:C:Documents and SettingsAdministrator「開始」選單程式啟動;

  在登錄檔中的位置是:HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun;

  現在你可以開啟看看裡面有沒有什麼不明的程式存在。

  二、msconfig

  msconfig是Windows系統中的“系統配置實用程式”,它管的方面可夠寬,包括:system.ini.win.ini,啟動專案等。同樣,裡面也是自啟動程式非常喜歡呆的地方!

  1.system.ini

  首先,在“執行”對話方塊中輸入“msconfig”過來啟動系統配置實用程式(下同),找到system.ini標籤,裡面的 “shell=……”就可以用來載入特殊的程式,如果你的shell=後面不是預設的explorer.exe,或者說後面還有一個程式的名字,那你可要小心了,請仔細檢查相應的程式是否安全!

  2.win.ini

  如果我們想載入一個程式:hack.exe,那麼可以在win.ini中用下面的語句來實現:

  [windows]

  load=hack.exe

  run=hacke.exe

  該怎麼做,你應該知道了吧!

  3.“啟動”專案

  系統配置實用程式中的啟動標籤和我們上面講的“啟動”資料夾並不是同一個東西,在系統配置實用程式中的這個啟動專案是Windows系統啟動專案的集合地,幾乎所有的啟動專案部能在這裡找到——當然,經過特殊程式設計處理的程式可以透過另外的方法不在這裡顯示。

  開啟“啟動”標籤,“啟動專案”中羅列的是開機啟動程式的名稱,“命令”下是具體的程式附加命令,最後的"位置"就是該程式在登錄檔中的相應位置了,你可以對可疑的程式進行詳細的路徑、命令檢查,一旦發現錯誤,就可以用下方的"停用"來禁止該程式開機時候的載入。

  一般來講,除系統基於硬體部分和核心部分的系統軟體的啟動專案外,其他的啟動專案都是可以適當更改的,包括:防毒程式、特定防火牆程式、播放軟體、記憶體管理軟體等。也就是說,啟動專案中包含了所有我們可見的程式的列表,你完全可以透過它來管理你的啟動程式!

  三、登錄檔中相應的啟動載入專案

  登錄檔的啟動專案是病毒和木馬程式的最愛!非常多的病毒相木馬的頑固性就是透過登錄檔來實現的,所以平常的時候可以下載個登錄檔監視器來監視登錄檔的改動,特別是在安裝了新的軟體或者是執行了新的程式的時候,一定不要被程式漂亮的外表迷惑。一定要看清楚它的實質是不是木馬的偽裝外殼或者是捆綁程式!必要的時候可以根據備份來恢復登錄檔,這樣的登錄檔程式網上很多,這裡也就不再羅嗦了。

  我們也可以透過手動的方法來檢查登錄檔中相應的位置,雖然它們很多是和上文講的位置重複,但是對網路安全來講,小心是永遠不嫌多的!

  注意同安全、清潔的系統登錄檔相應鍵進行比較,如果發現不一致的地方,一定要弄清楚它是什麼東西!不要相信寫在外面的 “system”、“windows”、“programfiles”等名稱,誰都知道“欲蓋彌彰”的道理。如果經過詳細的比較,可以確定它是不明程式的話,不要手軟,馬上刪除!

  四、wininit.ini

  我們知道,Wiidows的安裝程式常常呼叫這個程式來實現安裝程式後的刪除工作,所以不要小看它,如果在它上面做手腳的話,可以說是非常隱蔽、非常完美的!

  它在系統盤的Windows目錄下,用記事本開啟它(有時候是wininit.hak檔案)可以看到相應的內容,很明顯,我們可以在裡面新增相應的語句來達到修改系統時候程式或者是刪除程式的目的如果是檔案關聯型的木馬,可以透過winint.ini來刪除它感染後的原始檔案,從而達到真正隱藏自己的目的!

  五、DOS下的戰鬥

  最後,我們說說DOS下的啟動專案的載入,config.sys,autoexec.bat,*.bat等檔案都可以用特定的程式設計方式來實現載入程式的目的,所以不要以為DOS就是個過時的東西,好的DOS下的程式設計往往能達到非常簡單、非常實用的功能!

相關文章