第2课中,讲了如何修改注册表实现文件隐藏,还留下了一个问题:显示系统文件夹的内容(操作1),位于注册表的哪个位置?
实际操作
大家看看这个路径是否和刚才的一样:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advaned
除了HKEY_LOCAL_MACHINE,后面的全部一样,什么意思呢?HKEY_LOCAL_MACHINE下面的修改会影响到整个系统中所有用户的设置,而HKEY_CURRENT_USER下面的设置只影响当前用户.也就是说,即使你把上面提到的键值全改了,换个用户登陆情况完全不一样了.而在HKEY_LOCAL_MACHINE下设置的,无论哪个用户登陆,都将是一样的,病毒也往往更喜欢优先修改这里的.
展开Folder,下面还有好多项,这里的情况和上面差不多,但又有些区别.看这一项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
CheckedValue的值为1时显示所有文件和文件夹.(文件夹选项)
Type的值为radio时表示在文件夹选项中该项设置显示为单选.
Text的值决定了该单选框上显示的文字,这里的值为@shell32.dll,-30500,表示从shell32.dll这个文件的特定位置读取资源,这里的资源是一个字符串,内容是"显示所有文件和文件夹".shell32.dll这个文件的路径是%systemroot%/system32/shell32.dll.顺便说一下%systemroot%这个代表windows目录.(试一下:开始,运行,输入%systemroot%,确定.),这是一个环境变量.
Folder下各项的设置和上面的很类似,大家自己应该可以看懂了.
再现禽兽病毒.(见附件)
和上次一样,这只是一个演示程序,并不会破坏系统.为什么叫禽兽病毒呢,因为它把文件夹选项中的一个字符串改成了"禽兽尚且有半点怜悯之心,而我一点都没有,所以我不是禽兽"(没听说过的话,百度一下这句话吧).
症状如下:隐藏文件无法显示.文件夹选项中"显示所有文件和文件夹"这一选项消失,"不显示隐藏文件"这一项被窜改.如图:
解决方法:
先结束进程,注册表按下面修改
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
Text的值改成@shell32.dll,-30501
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
Type的值改成radio
其他的按第2课中讲的修改.
(注:本文中的“\”,如有需要体验或者使用,请替换成半角斜线)
网友评论