蠕蟲和木馬經常修改哪些系統檔案和登錄檔
從計算機病毒的發展趨勢來看,蠕蟲和木馬類的病毒越來越多。與普通感染可執行檔案的檔案型病毒不同,此類程式通常不感染正常的系統檔案,而是將自身作為系統的一部分安裝到系統中。相對來說,此類病毒的隱蔽性更強一些,更不容易被使用者發覺。
但是無論什麼樣的病毒程式在感染系統時都會留下一些蛛絲馬跡。在此我們總結一下各種病毒可能會更改的地方,以便能夠更快速地找到它們。
一、更改系統的相關配置檔案
這種情況主要是針對老系統。
病毒可能會更改autoexec.bat,只要在其中加入執行病毒程式檔案的語句即可在系統啟動時自動啟用病毒。*更改 drive:\windows\win.ini或者system.ini檔案。病毒通常會在win.ini的“run=”後面加入病毒自身的檔名,或者在system.ini檔案中將“shell=”更改。
二、更改登錄檔健值
目前,只要新出的蠕蟲/特洛伊類病毒一般都有修改系統登錄檔的動作。它們修改的位置一般有以下幾個地方:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\
說明:在系統啟動時自動執行的程式
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
說明:在系統啟動時自動執行的系統服務程式
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
說明:在系統啟動時自動執行的程式,這是病毒最有可能修改/新增的地方。 例如:Win32.Swen.B病毒將增加:HKLM\Software\Microsoft\Windows\CurrentVersion\Run \ucfzyojza= “cxsgrhcl.exe autorun”
HKEY_CLASSES_ROOT\exefile\shell\open\command
說明:此鍵值能使病毒在使用者執行任何EXE程式時被執行,以此類推,..\txtfile\.. 或者 ..\comfile\.. 也可被更改,以便實現病毒自動執行的功能。
另外,有些健值還可能被利用來實現比較特別的功能:
有些病毒會通過修改下面的鍵值來阻止使用者檢視和修改登錄檔:
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools =
為了阻止使用者利用.REG檔案修改登錄檔鍵值,以下鍵值也會被修改來顯示一個記憶體訪問錯誤視窗
例如:Win32.Swen.B 病毒 會將預設健值修改為:
HKCR\regfile\shell\open\command\***Default*** = “cxsgrhcl.exe showerror”
通過對以上地方的修改,病毒程式主要達到的目的是在系統啟動或者程式執行過程中能夠自動被執行,已達到自動啟用的目的
- 蠕蟲和木馬經常修改哪些系統檔案和登錄檔
- 夢見借錢給別人的寓意周公解夢
- 簡單煙燻妝畫法步驟
- 英雄聯盟經典的高清原畫圖片
- 親人去世的語錄有哪些
- 元宵節領導發言稿範文
- 貧富差距最小的國家是哪個
- 初學者英語聽力
- 三七粉長期服用的注意事項和三七粉的功效
- 顧城的愛情詩
- 餐飲業市場趨勢調查報告
- 煤礦工人關於安全生產月演講稿
- 關於青春勵志的語言
- 有關做微商的勵志段子
- 廣西最大的鎮是哪個鄉鎮
- 五年級上冊中國漢字手抄報圖畫大全
- 減肥的搞笑句子
- 充實自我的哲理個性簽名
- 益肝靈分散片說明書
- 關於戰國四公子的文章
- 康熙字典五行屬金的字
- 康熙字典五行屬木的字
- 康熙字典五行屬水的字
- 康熙字典五行屬火的字
- 康熙字典五行屬土的字