这类病毒一般是以进程的方式运行,比较容易发现。.exe文件病毒被激活后,一般会开机后自动加载,所以我们只需要把操作系统的各个自动加载的地方找到,然后查看可疑的.exe文件,就可以把病毒样本找出来了
1.注册表(开始>运行>regedit)
以下位置为注册表十三处启动项位置,依次查看各启动项加载的文件,就可把病毒样本找出来
HKLM-Software-Microsoft-WindowsNT-CurrentVersion-Winlogon-Userinit例子:如维金病毒会在HKCU-Software-Microsoft-WindowsNT-CurrentVersion-Windows-load处加载rundl132.exe病毒文件
HKLM-Software-Microsoft-WindowsCurrentVersion-Policies-Explorer-Run
HKLM-Software-Microsoft-Windows-CurrentVersion-Run-Services-Once
HKLM-Software-Microsoft-Windows-CurrentVersion-Run-Services
HKLM-Software-Microsoft-Windows-Current-Version-RunOnce
HKLMSoftwareMicrosoftWindowsCurrentVersionRunOnceEx
HKLM-Software-Microsoft-Windows-CurrentVersion-Run
HKCU-Software-Microsoft-WindowsNT-CurrentVersion-Windows-load
HKCU-Software-Microsoft-WindowsCurrentVersion-Policies-Explorer-Run
HKCU-Software-Microsoft-Windows-CurrentVersion-Run-Services-Once
HKCU-Software-Microsoft-Windows-Current-Version-RunOnce
HKCU-Software-Microsoft-Windows-CurrentVersion-Run-Services
HKCU-Software-Microsoft-Windows-CurrentVersion-Run
2.系统WIN.INI文件内 (c:windowswin.ini或c:winnt.ini)
在win.ini文件中,“run=”和“load=”是可能加载“木马”程序的途径,必须仔细留心它们。一般情况下,它们的等号后面什么都没有,如果发现后面跟有路径与文件名不是你熟悉的启动文件,你的计算机就可能中上“木马”了。当然你也得看清楚,因为好多“木马”,如“AOL Trojan木马”,它把自身伪装成command.exe文件,如果不注意可能不会发现它不是真正的系统启动件。也许你会问了我是XP系统啊 怎么没有这个呢?不必担心给你个正确的你参考下就知道有没有可疑程序了。下边就是正常的WIN.INI(XP):
| 正常的c:windowswin.ini | 不正常的c:windowswin.ini |
| ; for 16-bit app support [fonts] [extensions] [mci extensions] [files] [Mail] MAPI=1 [MCI Extensions.BAK] aif=MPEGVideo aifc=MPEGVideo aiff=MPEGVideo asf=MPEGVideo asx=MPEGVideo au=MPEGVideo m1v=MPEGVideo m3u=MPEGVideo mp2=MPEGVideo mp2v=MPEGVideo mp3=MPEGVideo mpa=MPEGVideo mpe=MPEGVideo mpeg=MPEGVideo mpg=MPEGVideo mpv2=MPEGVideo snd=MPEGVideo wax=MPEGVideo wm=MPEGVideo wma=MPEGVideo wmv=MPEGVideo wmx=MPEGVideo wpl=MPEGVideo wvx=MPEGVideo | ; for 16-bit app support [fonts] [extensions] [mci extensions] [files] [Mail] MAPI=1 Load=c:windowssystem32svch0st.exe Run=c:windowsIexplore.exe [MCI Extensions.BAK] aif=MPEGVideo aifc=MPEGVideo aiff=MPEGVideo asf=MPEGVideo asx=MPEGVideo au=MPEGVideo m1v=MPEGVideo m3u=MPEGVideo mp2=MPEGVideo mp2v=MPEGVideo mp3=MPEGVideo mpa=MPEGVideo mpe=MPEGVideo mpeg=MPEGVideo mpg=MPEGVideo mpv2=MPEGVideo snd=MPEGVideo wax=MPEGVideo wm=MPEGVideo wma=MPEGVideo wmv=MPEGVideo wmx=MPEGVideo wpl=MPEGVideo wvx=MPEGVideo |
3.SYSTEM.INI文件中 (c:windowssystem.ini或c:winntsystem.ini)
在system.ini文件中,在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”,如果不是“explorer.exe”,而是“shell= explorer.exe 程序名”,那么后面跟着的那个程序就是“木马”程序,就是说你已经中“木马”了。又会有人问了,我是XP系统怎么又不一样呢?给你个正常的XP系统的SYSTEM.INI,请大家可以参考下正常的SYSTEM.INI文件:
; for 16-bit ap�p support4.在Config.sys内 (c:config.sys)
[drivers]
wave=mmdrv.dll
timer=timer.drv
[mci]
[driver32]
[386enh]
woafont=app936.FON
EGA80WOA.FON=EGA80WOA.FON
EGA40WOA.FON=EGA40WOA.FON
CGA80WOA.FON=CGA80WOA.FON
CGA40WOA.FON=CGA40WOA.FON
这类加载方式比较少见,但是并不是没有。如果上述方法都找不到的话,请来这里也许会有收获的。
5.在Autuexec.bat内
这类加载方式也是比较少见,建议跟Config.sys方法一样。
4和5的加载方式建议大家先必须确定计算机有病毒,并且上边的方法都找不到后,最后来这里进行查找。
总结:这类病毒是比较容易暴露的,找到病毒本样后,用winrar或winzip把文件压缩,并设置一个叫“virus”的密码,把该压缩文件发送到virus@vccn.com.cn邮箱,然后手动删除这些病毒文件。
版权与免责声明
1、本站所发布的文章仅供技术交流参考,本站不主张将其做为决策的依据,浏览者可自愿选择采信与否,本站不对因采信这些信息所产生的任何问题负责。
2、本站部分文章来源于网络,其版权为原权利人所有。由于来源之故,有的文章未能获得作者姓名,署“未知”或“佚名”。对于这些文章,有知悉作者姓名的请告知本站,以便及时署名。如果作者要求删除,我们将予以删除。除此之外本站不再承担其它责任。
3、本站部分文章来源于本站原创,本站拥有所有权利。
4、如对本站发布的信息有异议,请联系我们,经本站确认后,将在三个工作日内做出修改或删除处理。
请参阅权责声明!