[登錄] [注冊]
網站首頁 >> 病毒安全 >> 病毒查殺 >> 文章內容

揪出木馬程序藏身注冊表的7個窩點

[日期:2010-03-29]   來源:碧波蕩漾網  作者:碧波蕩漾網   [字體: ]

  一款“毒”的惡意軟件病毒木馬是怎么做出來的?是根據Windows系統或者安全軟件的疏忽或者可乘之處開發出來的。為啥電腦老手都推薦大家使用Windows7、Vista而不是繼續使用XP,為什么微軟也一再建議用戶升級使用最新的瀏覽器,就是因為微軟在新版本軟件中逐步填補和防范了這些疏忽之處。

  下面軟媒小編和大家談及的就是殺毒軟件安全軟件和惡意軟件都彼此爭戰的場所,在Windows的注冊表中,有惡意軟件至愛的7個窩點,更勝于狡兔的三窟啊——

  今天電腦的普及程度之高完全可以說是全社會的普及了,但是隨之而來的計算機病毒問題也成了社會問題,盡管殺毒軟件每天都在更新,而對抗殺毒軟件以及檢測工具掃描的病毒爺爺不斷地更新,它們有的甚至會關閉殺毒軟件以及檢測工具。我就遇到過防火墻被關閉,WOW賬戶被盜。盡管計算機很普及,但是絕大多數用戶對于軟件的讀寫知之甚少,很難判斷它們藏在哪里。而這種情況下殺毒軟件以及安全工具無法運行。這時候要想刪除病毒,就必須知道隱藏在哪里,是什么病毒。這里列舉說明一些常見反殺病毒的檢測位置。

  1、大名鼎鼎的AV終結者變種程序在開機時啟動雙進程堅守、關閉殺毒程序。一般來說,發現防火墻被關閉,就有可能是它光臨駕到了。檢測HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run是否有它的蹤影。這里屬于常規啟動項,很多程序會寫在這里。

  2、如果殺毒軟件難于清理、或被關閉了殺毒程序,也有可能是被執行掛鉤了。這時候應當檢測HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks,大量惡意軟件以及病毒均會寫入這里。因為,很少有正常程序會寫入這里,病毒幾率非常大。
3、有的時候,安全模式也加載,殺毒程序被關閉了。這有可能就是機器狗新變種或磁碟機變種在作梗。重點檢查一下HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows\Appinit_Dlls。很少有正常程序會寫入這個位置,病毒幾率極高。

  4、灰鴿子是很有名的病毒了,現在出想了它的變種,而且難于發現與清理,可以關閉殺毒程序。由于病毒是寫入底層服務與rootkits驅動,所以才導致清除困難。用戶可以重點檢查HKLM\System\CurrentControlSet\Services。

  5、如果發現某個特定文件名的文件無法執行了,十有八九是被映像劫持,重點排查HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options,大多數AV病毒均會寫在這里。當然,被劫持的文件不一定是exe文件。有的病毒為了防止ani.ani還原病毒主文件,便劫持ani.ani文件。

  6、飄雪變種病毒可以將殺毒軟件安裝文件進行刪除,而且會修改hosts文件、在QQ目錄下寫入隱藏的病毒dll并且修改API HOOH。這時可以重點檢查HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler

  7、HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad,值得一提的是,上述分析工作需要具備常用軟件以及操作系統豐富的使用經驗,對于注冊表和操作系統不甚了解的用戶建議重裝系統。本文僅例舉了幾個常見的反殺病毒的關注位置供大家參考。其實,具有反殺能力的病毒還很多,歡迎廣大讀者朋友們給與斧正和指教。

  啊,至于你希望把這些東西用在安全防范上還是想做點壞事,這個要謹記勿以惡小而為之的古訓啊。

相關文章
相關評論
26选5数