當(dāng)前位置 : 首頁(yè)>軟件學(xué)院>網(wǎng)絡(luò)技術(shù)>黑客攻防>正文

菜鳥(niǎo)必知-病毒隱藏之處

http://www.yibo1263.com　2009-3-3 10:14:39 　來(lái)源:網(wǎng)絡(luò) 　編輯:葉子

　　今天由我這個(gè)小菜來(lái)給大家綜合一下病毒到底藏在什么地方，關(guān)于這方面的文章網(wǎng)上很多，
大家可以去查一下，當(dāng)然我做的也不是很全面，我還是個(gè)初學(xué)者，由于是第一次發(fā)帖，肯定會(huì)有
很多缺陷，請(qǐng)大家多多諒解，如果這個(gè)文章對(duì)大家有所幫助，我還是心滿(mǎn)意足了。
廢話(huà)少說(shuō)，Let's go！

　　1：Win.ini 和 System.ini中（位于系統(tǒng)盤(pán)的Windows文件夾中）

在Win.ini中"run="和"load="下什么都沒(méi)有
在System.ini中 "shell=文件名"，這個(gè)文件名必須是explorer.exe，在這里特別要細(xì)心的看，看看explorer.exe是不是寫(xiě)成expl0rer.exe或者iexplorer.exe等類(lèi)似的。
如果滿(mǎn)足以上倆個(gè)條件，那么可以說(shuō)win.ini和system.ini是正常的文件。

win.ini對(duì)應(yīng)的注冊(cè)表為:HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run

system.ini對(duì)應(yīng)的注冊(cè)表為：HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell

　　2:檢查系統(tǒng)配置和注冊(cè)表

　　Win+R 調(diào)出運(yùn)行對(duì)話(huà)框輸入msconfig按回車(chē)調(diào)出系統(tǒng)配置，在啟用項(xiàng)里查找不明的程序，勾掉前面的對(duì)話(huà)框按確定，那么系統(tǒng)在下次啟動(dòng)時(shí)不加載勾掉的程序。

注冊(cè)表啟動(dòng)項(xiàng)：
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

HKLM\Software\Microsoft\Windows\CurrentVersion\Runonce

HKLM\Software\Microsoft\Windows\CurrentVersion\Runservices

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

HKCU\Software\Microsoft\Windows\CurrentVersion\Runonce

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders
startup="c:/windows/start menu/programs/startup"

　　3：Autoexec.bat文件（位于系統(tǒng)盤(pán)根目錄）

　　隨著系統(tǒng)啟動(dòng)自動(dòng)運(yùn)行的批處理文件，只加載windows必備的系統(tǒng)進(jìn)程，如path（路徑），smartdrv（硬盤(pán)加速），mouse（鼠標(biāo)驅(qū)動(dòng)），set（設(shè)置環(huán)境變量）等
如果有不明的東東的話(huà)，就應(yīng)該更加注意一些了。
有的系統(tǒng)的autoexec.bat文件的大小為0kb，這很正常，
（*我要是沒(méi)有記錯(cuò)的話(huà)autoexec.bat文件的大小不超過(guò)64kb，如果大于64kb那么這個(gè)文件一定有問(wèn)題。）

　　4：Temp臨時(shí)文件夾中

　　這種病毒很多，有的也很頑固，一般殺毒軟件都可以查殺，但往往殺的都不是很徹底，這里建議使用木馬專(zhuān)殺工具，

　　比如：AVG， TrojanHunter，木馬克星等等。個(gè)人建議手工刪除法，在安全模式下，和文件粉碎軟件一同使用。

　　5：$NTUNINSTALLQ*****$（*代表數(shù)字，一般為微軟更新補(bǔ)�。�
惡意腳本病毒，常在系統(tǒng)盤(pán)下生成文件夾$NTUNINSTALL******$,冒充微軟更新補(bǔ)丁，帶隱藏屬性，來(lái)迷惑別人。

　　6：dll行病毒

　　這類(lèi)病毒一般是后門(mén)病毒，啟動(dòng)dll文件的exe載體是不可缺少的，被稱(chēng)為L(zhǎng)oader，那么dll文件怎么運(yùn)行呢？
因此好的dll后門(mén)會(huì)盡量保護(hù)自己的Loader不被查殺。Loader方式有很多，可以是專(zhuān)門(mén)為dll編寫(xiě)的exe文件，
也可以是rundll32.exe和svchost.exe，即使停止了rundll32.exe和svchost.exe，dll后門(mén)還是存在的，

svchost.exe對(duì)應(yīng)的注冊(cè)表的位置
HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Svchost
每個(gè)鍵值表示一個(gè)獨(dú)立的Svchost.exe

系統(tǒng)盤(pán):\windows\system32\svchost.exe 存在一個(gè)svchost.exe
系統(tǒng)盤(pán):\windows\system32\dllcache\svchost.exe 存在一個(gè)svchost.exe

對(duì)策：因?yàn)楹箝T(mén)打開(kāi)特定的端口，dll后門(mén)也不例外，可以再cmd里輸入netstat-ano 查看可疑的進(jìn)程，把端口關(guān)閉。
關(guān)閉端口方法有很多，可以用防火墻進(jìn)行端口關(guān)閉，配置ip安全策略把端口關(guān)閉。
在此不做介紹。

8：autorun.inf（位于系統(tǒng)根目錄，自啟動(dòng)文件）
由于網(wǎng)上關(guān)于autorun.inf的文章很多，再此不做介紹。

【收藏】【打印】【進(jìn)入論壇】

相關(guān)文章：

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费