找回密码

立即注册

记住登录
登录
查价
高级搜索
古泉社区 » 电脑与网络 » 菜鸟必知-病毒隐藏之处
发帖 回复
返回列表页1 转到
    查看 1029 | 回复 1

    菜鸟必知-病毒隐藏之处

    一键送评园地评级,为您保驾护航
    离线 月界的
    信用分 0 (初级)

    • 5

      主题

    • 5

      帖子

    • 15

      积分

    普通会员
    好评
    0
    差评
    0
    精华
    0
    注册时间
    2009-02-18
    最后登录
    2016-03-02
    楼主 发表于2009-05-21 10:23:24
    只看该作者

    今天由我这个小菜来给大家综合一下病毒到底藏在什么地方,关于这方面的文章网上很多
    大家可以去查一下,当然我做的也不是很全面,我还是个初学者,由于是第一次发帖,肯定会有很多缺陷,请大家多多谅解,如果这个文章对大家有所帮助,我还是心满意足了。

    废话少说,Let's go!

    1:Win.ini 和 System.ini中(位于系统盘的Windows文件夹中)

    在Win.ini中"run="和"load="下什么都没有

    在System.ini中 "shell=文件名", 这个文件名必须是explorer.exe,在这里特别要细心的看,看看explorer.exe是不是写成expl0rer.exe或者iexplorer.exe等类似的。

    如果满足以上俩个条件,那么可以说win.ini和system.ini是正常的文件。

    win.ini对应的注册表为:HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run

    system.ini对应的注册表为:HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell

    2:检查系统配置和注册表

    Win+R 调出运行对话框输入msconfig按回车调出系统配置,在启用项里查找不明的程序,勾掉前面的对话框按确定,那么系统在下次启动时不加载勾掉的程序。

    注册表启动项:

    HKLM\Software\Microsoft\Windows\CurrentVersion\Run

    HKLM\Software\Microsoft\Windows\CurrentVersion\Runonce

    HKLM\Software\Microsoft\Windows\CurrentVersion\Runservices

    HKCU\Software\Microsoft\Windows\CurrentVersion\Run

    HKCU\Software\Microsoft\Windows\CurrentVersion\Runonce

    HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

    HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders

       startup="c:/windows/start menu/programs/startup"

    3:Autoexec.bat文件(位于系统盘根目录)

    随着系统启动自动运行的批处理文件,只加载windows必备的系统进程,如path(路径),smartdrv(硬盘加速),mouse(鼠标驱动),set(设置环境变量)等

    如果有不明的东东的话,就应该更加注意一些了。

    有的系统的autoexec.bat文件的大小为0kb,这很正常,

    (*我要是没有记错的话autoexec.bat文件的大小不超过64kb,如果大于64kb那么这个文件一定有问题。)

    4:Temp临时文件夹中

    这种病毒很多,有的也很顽固,一般杀毒软件都可以查杀,但往往杀的都不是很彻底,这里建议使用木马专杀工具,

    比如:AVG, TrojanHunter,木马克星等等。个人建议手工删除法,在安全模式下,和文件粉碎软件一同使用。

    5:$NTUNINSTALLQ

    $(*代表数字,一般为微软更新补丁)

    恶意脚本病毒,常在系统盘下生成文件夹$NTUNINSTALL

    $,冒充微软更新补丁,带隐藏属性,来迷惑别人。

    6:dll行病毒

    这类病毒一般是后门病毒,启动dll文件的exe载体是不可缺少的,被称为Loader,那么dll文件怎么运行呢?

    因此好的dll后门会尽量保护自己的Loader不被查杀。Loader方式有很多,可以是专门为dll编写的exe文件,

    也可以是rundll32.exe和svchost.exe,即使停止了rundll32.exe和svchost.exe,dll后门还是存在的,

    svchost.exe对应的注册表的位置

    HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Svchost

    每个键值表示一个独立的Svchost.exe

    系统盘:\windows\system32\svchost.exe 存在一个svchost.exe

    系统盘:\windows\system32\dllcache\svchost.exe  存在一个svchost.exe

    对策:因为后门打开特定的端口,dll后门也不例外,可以再cmd里输入netstat-ano 查看可疑的进程,把端口关闭。

    关闭端口方法有很多,可以用防火墙进行端口关闭,配置ip安全策略把端口关闭。

    在此不做介绍。

    8:autorun.inf(位于系统根目录,自启动文件)

    由于网上关于autorun.inf的文章很多,再此不做介绍。
    回复 点赞 救生圈 图片鉴定 园地评级
    举报
    离线 子非我
    信用分 1145 (优秀)

    • 1242

      主题

    • 18770

      帖子

    • 2.1万

      积分

    论坛版主
    荣誉
    2023年度优秀版主
    好评
    30
    差评
    0
    红包
    0
    精华
    3
    注册时间
    2006-08-16
    最后登录
    2026-01-21
    1楼 发表于2009-05-22 13:15:47
    只看该作者

    这些东西太复杂  最好有程序化的 咱们这里不适合讨论这些啊 看的头疼 最需要的是能让广大泉友知道怎么预防病毒 保证网络交易安全
    回复
    举报
    发帖 回复
    返回列表页1 转到
    网站首页 | 广告服务 | 关于我们 | 联系我们 | App下载 | 操作指南

    COPYRIGHT © 1999-2022 Powered by www.chcoin.com All rights reserved 湘ICP备19000294号 长沙古泉园地拍卖有限公司 长沙古泉园地艺术品有限公司

    特别申明:古泉园地公司对其公司官网上发表的文章、照片及相关信息等,未经本公司书面同意及授权,不得复制或引用及转载,否则公司将依法追究相关方之法律责任!

    地址:长沙市开福区珠江·星环购物中心写字楼B2栋8楼8117

    联系电话: 值班客服-19174963207(18:00~21:00) 拍卖-0731-85500310、安支-0731-85500311、网络-0731-85500320、评级-0731-85500332

    回到顶部

    咨询客服

    微信扫码添加客服

    微信电脑端咨询

    站务管理

    发帖留下您的问题,客服会跟踪受理

    去发帖