1、在系统内核启动前加载病毒程序
有些病毒会在系统内核启动前就能加载运行,例如当Windows出现严重错误导致蓝屏时,按Reset键重新启动电脑,在系统还未进入正常运行前,就激活了病毒程序,对系统进行破坏。其自动加载原理是在注册表的“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager”下的“BootExellte”键值名中写入病毒程序路径程序。当然,可以在其后跟随更多的程序项。当然,这些病毒程序都经过特殊编程,在Windows的CMD窗口中是无法运行的。对付这类病毒,只要进入上述注册表路径,将“BootExecute”键值名中的病毒程序清空,并据此删除病毒程序即可。
2、谨防病毒绑架任务管理器
对进程进行管理,离不开任务管理器。和任务管理器对应的程序为“taskmgr.exe”,位于“c:\Windows\system32”,“C:\Windows\SvsWOW64”等系统文件夹中。当病毒采取偷梁换柱的方法,对其进行了替换后,只要用户按下“Ctrl+Ah+Delete”键,就会自动激活病毒。例如,当病毒潜入系统后,将自身复制到了“C:\Windows”路径下,先将原系统文件夹中的“taskmgr.exe”进行更名处理(例如将其改名为“taskmgr0.exe”),之后释放出真正的病毒程序并命名为“taskmgr.exe”,然后执行自删除操作,删除原病毒程序。当用户习惯性的按下“Ctrl+Alt+Delete”键,病毒程序就自动激活了,开始执行预设的破坏操作,同时还会从网上下载运行更多的病毒木马。其狡猾之处在于还会调用运行“taskmgr0.exe”,给人以任务管理器正常打开的假象。对于这类病毒,只需将虚假的“taskmgr.exe”删除,并恢复正常的“taskmgr.exe”,就可以让其失去活力。
3、利用组策略实现自启动
有些病毒会躲进组策略中,实现自动运行。对于这类病毒,只需在“开始”→“运行”中运行“Gpedit.msc”,在组策略窗口中依次展开“本地计算机策略”→“计算机配置”→“管理模块”→“系统”→“登录”,在右侧窗体双击“在用户登录时运行这些程序”,在属性窗口中如果发现已经激活了“已启用”项,就表示有程序隐藏在其中非法运行了。点击“显示”按钮,可以浏览所有自动运行的程序项,从中找到病毒启动项,将其删除即可。
4、利用系统服务实现自运行
很多病毒都喜欢将自身注册为系统服务,来获得更高的运行权限。只要系统启动后,这些病毒服务就会抢先启动。运行“services.msc”程序,在服务列表管理器中查看相关的服务项目,如果发现有的服务的描述信息是空白或者全英文的,内容看起来很奇怪,则多半是病毒程序所为。双击相应的服务名称,在其属性窗口中将其启动方式改为手动,即可阻止其非法加载运行。
如果不太容易发现病毒服务名,可以在任务管理器中查找病毒程序名称,之后运行注册表编辑器,选中“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services”分支,点击“Ctrl+F”键打开搜索窗口,根据程序名在搜寻与之关联的主键后,找到之后在该主键右侧的“ImagePath”键值名中显示病毒程序的具体位置,在“Start”键值名中显示启动方式,将其设置为“3”或“4”,即可禁止其自动运行。根据得到的病毒程序路径,就可以手工或者使用专用安全工具,将其彻底删除。
对于有些狡猾的病毒来说,为了达到隐蔽运行的目的,会采用系Rootkit等技术,将自身创建为隐藏的服务,通过挂钩系统本地调用实现自身的隐藏,通过系统的服务管理器是看不到这些隐藏服务的。从而实现在Windows启动前悄然加载,逃避用户查杀的目的。使用Knlsc这款小巧精悍的软件,可以让隐藏的服务“彻底现身”。Knlsc的使用方法很简单,将压缩包解开后,找到其中的Knlsc13.exe3C件。在CMD窗口中运行命令“knlsc13.exe-f”,就能显示出隐藏的服务,显示格式为“服务名服务显示名「类型」「启动方式」[时间戳]服务程序全路径服务Dll全路径(共享进程的服务才有此项)”。如果发现有隐藏服务(假设服务名是“Windll”),只需运行命令“knlscl3.exe cdWindll”,即可禁用该隐藏服务。
5.利用注册表自启动
实际上,在注册表中除了常见的启动项位置外,还有一些地方可以实现隐蔽启动预设程序的功能。如果被病毒加以利用,其危害就不言而喻了。
- Run 启动项。常见的启动项如下:
1. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
2. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Runonce
3. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
4. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
5. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run
6. HKCU\Software\Microsoft\Windows\CurrentVersion\Run
7. HKCU\Software\Microsoft\Windows\CurrentVersion\Runonce
8. HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
9. HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
10. HKCU\Software\Microsoft\Windows\CurrentVersion\policies\explorer\run
确定以上这些启动项包含病毒的方法:
1)根据已确定的病毒文件确定。键值即为该文件的路径。
2)只有 Run 项是有键值的,如图1,其它的都只有一个默认串(98除外),所以若其它项中有键值,就可能是病毒启动项。
3)若键值是糊乱的文件名,如 1.exe;或路径是在临时文件夹的;也可能是病毒启动项。
- Winlong 启动项
位置:HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
主要检查 Userinit、Shell、Notify,看看键值是否有异常。
- windows 启动项
1. HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows 下若有 Load 键,该键值是空的,若不为空可是病毒启动项。
2. HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
该项也是病毒常常出现的位置,注意检查。
3. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
若杀毒软件被关闭了,很可能病毒的启动项就写在这里;通常,很少有正常程序会写在这里。
4. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls
若安全模式下杀毒软件被关闭了,病毒可能就写在这里,很少有正常程序会写在这里。
- ActiveX方式启动
有些病毒,木马喜欢利用ActiveX方式启动,来避开杀软的追捕。例如对于某款木马来说,会同时使用ActiveX启动和注册表启动项两种启动方式,不仅可以深度隐藏自身,插入其他合法进程,而且可以突破常用虚拟机和沙箱安全软件。当该木马激活后,打开注册表编辑器,在“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\InstalledComponents”路径,在其下有很多以GUID字符串命名的键值,病毒木马就会利用ActiceX组件的身份隐藏其中,例如打开“{00000042-CC51—11cF-AAFA一00AA0086015B}”分支,在右侧双击“StubPath”键值名,可以看到该病毒木马真实的启动路径,本例为“C:\WINDOWS\svstem32\server.exe Restart”,可以看到病毒伪装成了“server.exe”程序。
参考:http://www.hack520.com/71.html
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
