從計算機病毒的發展趨勢來看,蠕蟲和木馬類的病毒越來越多。與普通感染可執行文件的文件型病毒不同,此類程序通常不感染正常的系統文件,而是將自身作為系統的一部分安裝到系統中。相對來說,此類病毒的隱蔽性更強一些,更不容易被使用者發覺。 但是無論什么樣的病毒程序在感染系統時都會留下一些蛛絲馬跡。在此我們總結一下各種病毒可能會更改的地方,以便能夠更快速地找到它們。 一、更改系統的相關配置文件。這種情況主要是針對95/98系統。 病毒可能會更改autoexec.bat,只要在其中加入執行病毒程序文件的語句即可在系統啟動時自動激活病毒。*更改drive:/windows/win.ini或者system.ini文件。病毒通常會在win.ini的“run=”后面加入病毒自身的文件名,或者在system.ini文件中將“shell=”更改。 二、更改注冊表健值。 各種win系統適用 目前,只要新出的蠕蟲/特洛伊類病毒一般都有修改系統注冊表的動作。它們修改的位置一般有以下幾個地方: HKLM/Software/Microsoft/Windows/CurrentVersion/RunOnce/ 說明:在系統啟動時自動執行的程序 HKLM/Software/Microsoft/Windows/CurrentVersion/RunServices/ 說明:在系統啟動時自動執行的系統服務程序 HKLM/Software/Microsoft/Windows/CurrentVersion/Run/ 說明:在系統啟動時自動執行的程序,這是病毒最有可能修改/添加的地方。 例如:Win32.Swen.B病毒將增加:HKLM/Software/Microsoft/Windows/CurrentVersion/Run/ucfzyojza= "cxsgrhcl.exe autorun" HKEY_CLASSES_ROOT/exefile/shell/open/command 說明:此鍵值能使病毒在用戶運行任何EXE程序時被運行,以此類推,../txtfile/.. 或者 ../comfile/.. 也可被更改,以便實現病毒自動運行的功能。 另外,有些健值還可能被利用來實現比較特別的功能: 有些病毒會通過修改下面的鍵值來阻止用戶查看和修改注冊表: HKCU/Software/Microsoft/Windows/CurrentVersion/Policies/ System/DisableRegistryTools = 為了阻止用戶利用.REG文件修改注冊表鍵值,以下鍵值也會被修改來顯示一個內存訪問錯誤窗口 例如:Win32.Swen.B 病毒 會將缺省健值修改為: HKCR/regfile/shell/open/command/(Default) = "cxsgrhcl.exe showerror" 通過對以上地方的修改,病毒程序主要達到的目的是在系統啟動或者程序運行過程中能夠自動被執行,已達到自動激活的目的。 |