[登录] [注册]
网站首页 >> 病毒安全 >> 病毒查杀 >> 文章内容

揪出木马程序藏身注册表的7个窝点

[日期:2010-03-29]   来源:碧波荡漾网  作者:碧波荡漾网   [字体: ]

  一款“毒”的恶意软件病毒木马是怎么做出来的?是根据Windows系统或者安全软件的疏忽或者可乘之处开发出来的。为啥电脑老手都推荐大家使用Windows7、Vista而不是继续使用XP,为什么微软也一再建议用户升级使用最新的浏览器,就是因为微软在新版本软件中逐步填补和防范了这些疏忽之处。

  下面软媒小编和大家谈及的就是杀毒软件安全软件和恶意软件都彼此争战的场所,在Windows的注册表中,有恶意软件至爱的7个窝点,更胜于狡兔的三窟啊——

  今天电脑的普及程度之高完全可以说是全社会的普及了,但是随之而来的计算机病毒问题也成了社会问题,尽管杀毒软件每天都在更新,而对抗杀毒软件以及检测工具扫描的病毒爷爷不断地更新,它们有的甚至会关闭杀毒软件以及检测工具。我就遇到过防火墙被关闭,WOW账户被盗。尽管计算机很普及,但是绝大多数用户对于软件的读写知之甚少,很难判断它们藏在哪里。而这种情况下杀毒软件以及安全工具无法运行。这时候要想删除病毒,就必须知道隐藏在哪里,是什么病毒。这里列举说明一些常见反杀病毒的检测位置。

  1、大名鼎鼎的AV终结者变种程序在开机时启动双进程坚守、关闭杀毒程序。一般来说,发现防火墙被关闭,就有可能是它光临驾到了。检测HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run是否有它的踪影。这里属于常规启动项,很多程序会写在这里。

  2、如果杀毒软件难于清理、或被关闭了杀毒程序,也有可能是被执行挂钩了。这时候应当检测HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks,大量恶意软件以及病毒均会写入这里。因为,很少有正常程序会写入这里,病毒几率非常大。
3、有的时候,安全模式也加载,杀毒程序被关闭了。这有可能就是机器狗新变种或磁碟机变种在作梗。重点检查一下HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows\Appinit_Dlls。很少有正常程序会写入这个位置,病毒几率极高。

  4、灰鸽子是很有名的病毒了,现在出想了它的变种,而且难于发现与清理,可以关闭杀毒程序。由于病毒是写入底层服务与rootkits驱动,所以才导致清除困难。用户可以重点检查HKLM\System\CurrentControlSet\Services。

  5、如果发现某个特定文件名的文件无法执行了,十有八九是被映像劫持,重点排查HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options,大多数AV病毒均会写在这里。当然,被劫持的文件不一定是exe文件。有的病毒为了防止ani.ani还原病毒主文件,便劫持ani.ani文件。

  6、飘雪变种病毒可以将杀毒软件安装文件进行删除,而且会修改hosts文件、在QQ目录下写入隐藏的病毒dll并且修改API HOOH。这时可以重点检查HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler

  7、HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad,值得一提的是,上述分析工作需要具备常用软件以及操作系统丰富的使用经验,对于注册表和操作系统不甚了解的用户建议重装系统。本文仅例举了几个常见的反杀病毒的关注位置供大家参考。其实,具有反杀能力的病毒还很多,欢迎广大读者朋友们给与斧正和指教。

  啊,至于你希望把这些东西用在安全防范上还是想做点坏事,这个要谨记勿以恶小而为之的古训啊。

相关文章
相关评论