网邻通

更多最新文章

联系我们

  • 商家名称:青岛电脑维修(方泰电脑医院)
  • 联系人:刘波
  • 固定电话:85932816,85932818
  • 移动电话:13708973696
  • 电子邮箱:qdsdft@163.com
  • 营业时间:8:30-18:00
  • 交通路线:33、322、227、604古田路下车
  • 联系地址:江西路157号甲(江西路与古田路交叉口)
  • 公司网址:http://qdfangtai.58.com.cn
  • 商家档案:查看商家验证资料
 

文章详细内容

手动查找木马病毒

2009-9-22 9:14:21

 手动查找木马病毒,让木马无处藏身

一、自启动目录
“启动”文件夹一般位于系统分区的“Documents and Settings-->User-->〔开始〕菜单-->程序”目录下。这时的User指的是你登录的用户名
如:
C:\Documents and Settings\Administrator\「开始」菜单\程序\启动
C:\Documents and Settings\All Users\「开始」菜单\程序\启动
这是最常用,最简单的Windows启动方式,只需把所需文件或其快捷方式放入文件夹中即可。很多的应用软件就上通过这种方式启动的。

对应的注册表位置:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders]
"Startup"="C:\\Documents and Settings\\Administrator\\「开始」菜单\\程序\\启动"


二.第二自启动目录:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders]
"Common Startup"="C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\\启动"

几乎没多大的区别,第一个是对某个用户设置启动的,属于USER级别的,第二个就是对机器上的所有用户设置,属于机器级别的。通过第二种启动在开始启动中是看不到的。
三、注册表启动
1.Userinit键

  位于“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit”。这个键允许指定用逗号分隔的多个程序。

  2.Explorer\Run键

  位于“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run”和“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run”。

“RunOnce”--这里加载的程序,只被执行一次。许多自启动程序要通过RunOnce子键来完成第一次加载


  5.Run键

  Run是自动运行程序最常用的键,位置在“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run”和“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”。

  6.Load键
一个埋藏得较深,而又不容易被人察觉的注册表键值启动键值。
  位于“HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows\load。

7.服务启动
位于HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services你所有的服务加载程序都在这里,
如果是运行dll动态链接库文件,就需要调用Rundll32.exe 来执行 Rundll32.exe是Windows用来调用动态连接库函数时所使用的文件
如Rundll32.exe c:\windows\muma.dll,Rundll32
Run和RunServices的区别在于:Run中的程序是在每次系统启动时被启动,RunServices则是会在每次登录系统时被启动。

8.Windows Shell──它位于〔HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\〕通过在下面的Shell字符串类型键值和userinit.exe中,来调用木马,以达到欺骗用户的目的,。
三.特殊启动
autorun.inf

四.计划任务启动方式

五.策略组加载程序
开机启动:C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup
关机启动:C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Shutdown
登陆启动:C:\WINDOWS\System32\GroupPolicy\User\Scripts\Logon
注销启动:C:\WINDOWS\System32\GroupPolicy\User\Scripts\Logoff

六。文件关联启动
一: CMD 关联启动
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor\AutoRun
二: EXE 关联启动
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
下建一个A.exe的项,再在A.exe下建一个Debugger的键,键值就是你的程序B.exe的全路径。
三:TXT文件关联
HKEY_CLASSES_ROOT\txtfile\shell\open\command下的默认值C:\windows\notepad.exe %1
四:HLP文件关联
HKEY_CLASSES_ROOT\hlpfile\shell\open\command下的默认值C:\WINDOWS\WINHLP32.EXE %1

七:利用文件创建时间来判断木马。


作者:追风

网站地址: http://www.99191.com

http://www.网管.cn

  声明:本文的目的是使大家能清楚地了解网上流行的黑客手段,增强自己的防护意识,因此请大家不
要用本文的方法去干违法的事情,切记:己所不欲,勿施于人!