修改注冊表防電腦病毒的方法有哪些

　　木馬取自古希臘神話的特洛伊木馬記，是一種基于遠程控制的黑客工具，具有很強的隱藏性和危害性。為了達到控制服務端主機的目的，木馬往往要采用各種手段達到激活自己，加載運行的目的。這里，我們簡要的介紹一下木馬通用的激活方式，它們的藏身地，并通過一些實例來讓您體會一下手動清除木馬的方法。

　　●在Win.ini中啟動木馬：

　　在Win.ini的[Windows]小節中有啟動命令“load=”和“run=”，在一般的情況下“=”后面是空的，如果后面跟有程序，比如：

　　run=C:Windows ile.exe

　　load=C:Windows ile.exe

　　則這個file.exe很有可能就是木馬程序。

　　●在Windows XP注冊表中修改文件關聯：

　　修改注冊表中的文件關聯是木馬常用的手段，如何修改的方法已在本系列的前幾文中有過闡述。舉個例子，在正常情況下txt文件的打開方式為Notepad.exe(記事本)，但一旦感染了文件關聯木馬，則txt文件就變成條用木馬程序打開了。如著名的國產木馬“冰河”，就是將注冊表HKEY_CLASSES_ROOT xtfileshellopencommand子鍵分支下的鍵值項“默認”的.鍵值“C:Windows otepad.exe %1”修改為“C:WindowsSystemSysexplr.exe”，這樣，當你雙擊一個txt文件時，原本應該用記事本打開的文件，現在就成了啟動木馬程序了。當然，不僅是txt 文件，其它類型的文件，如htm、exe、zip、com等文件也都是木馬程序的目標，要小心。

　　對這類木馬程序，只能檢查注冊表中的HKEY_CLASSES_ROOT中的文件類型shellopencommand子鍵分支，查看其值是否正常。

　　●在Windows XP系統中捆綁木馬文件：

　　實現這種觸發條件首先要控制端和服務端已通過木馬建立連接，控制端用戶使用工具軟件將木馬文件和某一應用程序捆綁在一起，上傳到服務端覆蓋原有文件，這樣即使木馬被刪除了，只要運行捆綁了木馬的應用程序，木馬又會被重新安裝了。如果捆綁在系統文件上，則每次Windows XP啟動都會啟動木馬。

　　●在System.ini中啟動木馬：

　　System.ini中的[boot]小節的shell=Explorer.exe是木馬喜歡的藏身之所，木馬通常的做法是將該語句變為這樣：

　　Shell=Explorer.exe file.exe

　　這里的file.exe就是木馬服務端程序。

　　另外，在[386enh]小節，要注意檢查在此小節的“driver=path程序名”，因為也有可能被木馬利用。[mic]、[drivers]、[drivers32]這三個小節也是要加載驅動程序的，所以也是添加木馬的理想場所。

　　●利用Windows XP注冊表加載運行：

　　注冊表中的以下位置是木馬偏愛的藏身之所：

　　HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion子鍵分支下所有以“run”開頭的鍵值項數據。

【修改注冊表防電腦病毒的方法有哪些】相關文章：

人口計生法修改內容有哪些08-31

預防電腦病毒的方法09-28

電腦病毒的防治方法09-30

戒煙方法有哪些02-23

職場減壓方法有哪些04-01

企業培訓方法有哪些11-15

學習方法有哪些02-22

績效考評方法有哪些02-27

hr面試方法有哪些02-18