駭客經常更改的系統配置檔案及登錄檔(轉)
駭客經常更改的系統配置檔案及登錄檔(轉)[@more@]目前,從計算機病毒的發展趨勢來看,蠕蟲/特洛伊類的病毒越來越多。與普通感染可執行檔案的檔案型病毒不同,此類程式通常不感染正常的系統檔案,而是將自身作為系統的一部分安裝到系統中。相對來說,此類病毒的隱蔽性更強一些,更不容易被使用者發覺。
但是無論什麼樣的病毒程式在感染系統時都會留下一些蛛絲馬跡。在此我們總結一下各種病毒可能會更改的地方,以便能夠更快速地找到它們。
一、更改系統的相關配置檔案。 這種情況主要是針對95/98系統。
*病毒可能會更改autoexec.bat,只要在其中加入執行病毒程式檔案的語句即可在系統啟動時自動啟用病毒。*更改drive:windowswin.ini或者system.ini檔案。病毒通常會在win.ini的“run=”後面加入病毒自身的檔名,或者在system.ini檔案中將“shell=”更改。
二、更改登錄檔健值。
目前,只要新出的蠕蟲/特洛伊類病毒一般都有修改系統登錄檔的動作。它們修改的位置一般有以下幾個地方:
HKLMSoftwareMicrosoftWindowsCurrentVersionRunOnce
說明:在系統啟動時自動執行的程式
HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices
說明:在系統啟動時自動執行的系統服務程式
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
說明:在系統啟動時自動執行的程式,這是病毒最有可能修改/新增的地方。 例如:Win32.Swen.B病毒將增加:HKLMSoftwareMicrosoftWindowsCurrentVersionRunucfzyojza= "cxsgrhcl.exe autorun"
HKEY_CLASSES_ROOTexefileshellopencommand
說明:此鍵值能使病毒在使用者執行任何EXE程式時被執行,以此類推,.. xtfile.. 或者 ..comfile.. 也可被更改,以便實現病毒自動執行的功能。
另外,有些健值還可能被利用來實現比較特別的功能:
*有些病毒會透過修改下面的鍵值來阻止使用者檢視和修改登錄檔:
HKCUSoftwareMicrosoftWindowsCurrentVersionPolicies
SystemDisableRegistryTools =
*為了阻止使用者利用.REG檔案修改登錄檔鍵值,以下鍵值也會被修改來顯示一個記憶體訪問錯誤視窗
例如:Win32.Swen.B 病毒 會將預設健值修改為:
HKCR egfileshellopencommand(Default) = "cxsgrhcl.exe showerror"
透過對以上地方的修改,病毒程式主要達到的目的是在系統啟動或者程式執行過程中能夠自動被執行,已達到自動啟用的目的。
但是無論什麼樣的病毒程式在感染系統時都會留下一些蛛絲馬跡。在此我們總結一下各種病毒可能會更改的地方,以便能夠更快速地找到它們。
一、更改系統的相關配置檔案。 這種情況主要是針對95/98系統。
*病毒可能會更改autoexec.bat,只要在其中加入執行病毒程式檔案的語句即可在系統啟動時自動啟用病毒。*更改drive:windowswin.ini或者system.ini檔案。病毒通常會在win.ini的“run=”後面加入病毒自身的檔名,或者在system.ini檔案中將“shell=”更改。
二、更改登錄檔健值。
目前,只要新出的蠕蟲/特洛伊類病毒一般都有修改系統登錄檔的動作。它們修改的位置一般有以下幾個地方:
HKLMSoftwareMicrosoftWindowsCurrentVersionRunOnce
說明:在系統啟動時自動執行的程式
HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices
說明:在系統啟動時自動執行的系統服務程式
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
說明:在系統啟動時自動執行的程式,這是病毒最有可能修改/新增的地方。 例如:Win32.Swen.B病毒將增加:HKLMSoftwareMicrosoftWindowsCurrentVersionRunucfzyojza= "cxsgrhcl.exe autorun"
HKEY_CLASSES_ROOTexefileshellopencommand
說明:此鍵值能使病毒在使用者執行任何EXE程式時被執行,以此類推,.. xtfile.. 或者 ..comfile.. 也可被更改,以便實現病毒自動執行的功能。
另外,有些健值還可能被利用來實現比較特別的功能:
*有些病毒會透過修改下面的鍵值來阻止使用者檢視和修改登錄檔:
HKCUSoftwareMicrosoftWindowsCurrentVersionPolicies
SystemDisableRegistryTools =
*為了阻止使用者利用.REG檔案修改登錄檔鍵值,以下鍵值也會被修改來顯示一個記憶體訪問錯誤視窗
例如:Win32.Swen.B 病毒 會將預設健值修改為:
HKCR egfileshellopencommand(Default) = "cxsgrhcl.exe showerror"
透過對以上地方的修改,病毒程式主要達到的目的是在系統啟動或者程式執行過程中能夠自動被執行,已達到自動啟用的目的。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/10617542/viewspace-949713/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- VB中使用系統登錄檔 (轉)
- Windows XP系統登錄檔的恢復(轉)Windows
- 細說GNU/Linux系統的檔案及檔案系統(轉)Linux
- Windows XP 系統中檔案關聯的更改(轉)Windows
- Linux系統檔案型別及檔案的副檔名(轉)Linux型別
- Linux系統的目錄及重要檔案Linux
- 系統配置檔案
- TCP/IP協議及配置、檔案系統TCP協議
- linux系統配置及相關檔案Linux
- root檔案系統的一點經驗(轉)
- 系統維護之WindowsXP中檔案關聯的更改(轉)Windows
- Windows10系統恢復及備份登錄檔的方法Windows
- 利用登錄檔隱藏檔案
- 解析Linux系統根檔案系統的目錄樹(轉)Linux
- 使用Java操作Windows系統登錄檔JavaWindows
- win10如何把txt更改為bat檔案_win10系統把檔案更改為bat檔案的方法Win10BAT
- Linux系統檔案系統及檔案基礎篇Linux
- win10系統中登錄檔如何開啟 win10系統開啟登錄檔的步驟Win10
- 認識 Linux 檔案屬性及檔案配置(轉)Linux
- Linux更改檔案及目錄許可權問題Linux
- Linux檔案系統-目錄和檔案管理Linux
- 在VC++中訪問和修改系統登錄檔 (轉)
- M$的系統啟動在登錄檔的位置
- iOS 常見的系統檔案目錄介紹iOS
- Linux 檔案系統的目錄Linux
- 檔案管理系統 (轉)
- 隱藏任意程式,目錄檔案,登錄檔,埠
- linux檔案系統及目錄結構詳解_轉摘chinaunixLinux
- 匯出系統登錄檔抓Hash的思路整理
- apache 配置檔案的配置(轉)Apache
- 登錄檔碎片整理是一種最佳化作業系統登錄檔的方法,旨在減少登錄檔檔案的碎片化,從而提高系統效能和響應速度。它透過重新整理和最佳化登錄檔檔案的儲存結構,以及壓縮空閒空間等方式,來改善系統的整體表現。作業系統
- Windows 98 登錄檔妙用(轉)Windows
- Linux檔案系統、目錄Linux
- 【Linux】檔案系統目錄Linux
- Win95下的登錄檔檔案(User.dat,System.dat)檔案格式說明 (轉)
- linux下燒錄任何檔案系統格式的光碟(轉)Linux
- 簡述 Linux 檔案系統的目錄結構(轉)Linux
- 在rhel5 配置xfs檔案系統_轉摘