修改注冊(cè)表防電腦病毒的方法有哪些

　　木馬取自古希臘神話的特洛伊木馬記，是一種基于遠(yuǎn)程控制的黑客工具，具有很強(qiáng)的隱藏性和危害性。為了達(dá)到控制服務(wù)端主機(jī)的目的，木馬往往要采用各種手段達(dá)到激活自己，加載運(yùn)行的目的。這里，我們簡(jiǎn)要的介紹一下木馬通用的激活方式，它們的藏身地，并通過(guò)一些實(shí)例來(lái)讓您體會(huì)一下手動(dòng)清除木馬的方法。

　　●在Win.ini中啟動(dòng)木馬：

　　在Win.ini的[Windows]小節(jié)中有啟動(dòng)命令“l(fā)oad=”和“run=”，在一般的情況下“=”后面是空的，如果后面跟有程序，比如：

　　run=C:Windows ile.exe

　　load=C:Windows ile.exe

　　則這個(gè)file.exe很有可能就是木馬程序。

　　●在Windows XP注冊(cè)表中修改文件關(guān)聯(lián)：

　　修改注冊(cè)表中的文件關(guān)聯(lián)是木馬常用的手段，如何修改的方法已在本系列的前幾文中有過(guò)闡述。舉個(gè)例子，在正常情況下txt文件的打開(kāi)方式為Notepad.exe(記事本)，但一旦感染了文件關(guān)聯(lián)木馬，則txt文件就變成條用木馬程序打開(kāi)了。如著名的國(guó)產(chǎn)木馬“冰河”，就是將注冊(cè)表HKEY_CLASSES_ROOT xtfileshellopencommand子鍵分支下的鍵值項(xiàng)“默認(rèn)”的.鍵值“C:Windows otepad.exe %1”修改為“C:WindowsSystemSysexplr.exe”，這樣，當(dāng)你雙擊一個(gè)txt文件時(shí)，原本應(yīng)該用記事本打開(kāi)的文件，現(xiàn)在就成了啟動(dòng)木馬程序了。當(dāng)然，不僅是txt 文件，其它類型的文件，如htm、exe、zip、com等文件也都是木馬程序的目標(biāo)，要小心。

　　對(duì)這類木馬程序，只能檢查注冊(cè)表中的HKEY_CLASSES_ROOT中的文件類型shellopencommand子鍵分支，查看其值是否正常。

　　●在Windows XP系統(tǒng)中捆綁木馬文件：

　　實(shí)現(xiàn)這種觸發(fā)條件首先要控制端和服務(wù)端已通過(guò)木馬建立連接，控制端用戶使用工具軟件將木馬文件和某一應(yīng)用程序捆綁在一起，上傳到服務(wù)端覆蓋原有文件，這樣即使木馬被刪除了，只要運(yùn)行捆綁了木馬的應(yīng)用程序，木馬又會(huì)被重新安裝了。如果捆綁在系統(tǒng)文件上，則每次Windows XP啟動(dòng)都會(huì)啟動(dòng)木馬。

　　●在System.ini中啟動(dòng)木馬：

　　System.ini中的[boot]小節(jié)的shell=Explorer.exe是木馬喜歡的藏身之所，木馬通常的做法是將該語(yǔ)句變?yōu)檫@樣：

　　Shell=Explorer.exe file.exe

　　這里的file.exe就是木馬服務(wù)端程序。

　　另外，在[386enh]小節(jié)，要注意檢查在此小節(jié)的“driver=path程序名”，因?yàn)橐灿锌赡鼙荒抉R利用。[mic]、[drivers]、[drivers32]這三個(gè)小節(jié)也是要加載驅(qū)動(dòng)程序的，所以也是添加木馬的理想場(chǎng)所。

　　●利用Windows XP注冊(cè)表加載運(yùn)行：

　　注冊(cè)表中的以下位置是木馬偏愛(ài)的藏身之所：

　　HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion子鍵分支下所有以“run”開(kāi)頭的鍵值項(xiàng)數(shù)據(jù)。

【修改注冊(cè)表防電腦病毒的方法有哪些】相關(guān)文章：

人口計(jì)生法修改內(nèi)容有哪些08-31

預(yù)防電腦病毒的方法09-28

電腦病毒的防治方法09-30

戒煙方法有哪些02-23

職場(chǎng)減壓方法有哪些04-01

企業(yè)培訓(xùn)方法有哪些11-15

學(xué)習(xí)方法有哪些02-22

績(jī)效考評(píng)方法有哪些02-27

hr面試方法有哪些02-18