反病毒教程第7课:自动运行与映像劫持

互联网 | 编辑: 黄蔚 2009-07-15 00:00:00转载 返回原文

本次教程讲述的是自动运行、映像劫持、自动播放的内容,哪里是病毒最喜欢的藏身之处呢?

自动运行的知识

点击此处访问 反病毒教程第1课

(注:本文中的“\”,如有需要体验或者使用,请替换成半角斜线)

一.自动运行

上次讲了自动运行的两个注册表位置及两个文件位置.即

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

C:\Documents and Settings\All Users\「开始」菜单\程序\启动

C:\Documents and Settings\你的用户名\「开始」菜单\程序\启动

这四个是病毒最喜欢的地方,要引起重视.

除此之外还有:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnceEx

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

与run的区别是,RunOnce只在下机开机时运行一次,以后不再运行,而run则每次开机时都启动,RunOnceEx不创建单独进程,通常以DLL形式加载,即使DLL调用出错,也可设置相应标志而不出现任何出错提示,微软解释:http://support.microsoft.com/kb/232487/en-us/

RunServices加载优先于Run,而RunServicesOnce,顾名思义,只运行一次的.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

这两个位置常常被忽略,大家注意一下.

HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows

这里load的值也要注意下

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

这两个下面的Notify,Userinit,Shell的值也要注意,这三个的键值可以用逗号分隔多个程序.这里也要特别注意.正常情况下,shell的值为Explorer.exe,Userinit的值为userinit.exe,(可能是完整路径)

其他需要注意的地方还有(不多见):

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System\Scripts

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System\Scripts

可能有些项或键在你电脑上并不存在,可以新建的.

映像劫持的知识

二.映像劫持

原理:NT系统在试图运行一个程序时,先会检查程序是不是可执行文件,如果是的话,再检查格式,然后就会检查是否存在,如果不存在的话,它会提示系统找不到文件或者是"指定的路径不正确"等等.

映像劫持的全称为Image File Execution Options

被病毒利用后的症状:杀毒软件,常用系统工具打不开,你运行正常程序,但打开的却是病毒程序.

举例:正常情况下,双击桌面上的IE图标就会打开浏览器,被劫持后实际运的并不是IE,而是另外一个程序,这里的另一个程序我以记事本为例来说明.

注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

先打开注册表并定位到这个位置,新建项,名为iexplore.exe

在右边新建字符串值,名为Debugger,双击它,将值改为notepad.exe,确定.

此时双击桌面上的IE图标时将打开记事本.解决办法是把刚才新建的全部删除.

另一种办法是找到IE的真正路径,将其他重命名后再运行.通常杀毒软件被劫持时,我们采用重命名法.

很多病毒都会利用这个地方,当你运行正常程序时,实际运行的却是病毒.

可能你会发现你的注册表中有一些后缀为dll或其他的项, 这些是可以删除的,不删也没关系,但如果它下面有名为Debugger的键并且值为一可执行文件路径时,就要引起注意了.

当然你也可以反过来劫持病毒,方法是一样的.

当Debugger指定的路径值不存在时,将出现错误. 比如我把刚才的notepad.exe改成c:\abc\abc.exe

如果打开目录C:\Program Files\Internet Explorer直接运行IEXPLORE.EXE则出现下面结果:

自动播放的知识

三.自动播放

提到自动播放,不得不说的一个文件就是autorun.inf,通常它具有隐藏属性,同时它也是一个配制文件.

autorun.inf是windows下操纵光盘等行为的一个文件,需要放在根目录下,部分操作对于硬盘,U盘也适用.

比如插入杀毒软件的安装光盘,系统将自动运行它的安装程序,这给我们带来了不少方便,但也给病毒的传播带来了方便.

所谓的U盘病毒就是利用这个文件来传播的病毒,如果你开启了自动播放功能,则当你双击U盘的时候,病毒就运行了.对于硬盘也是一样的.有时病毒清理完毕后,双击硬盘却打不开了,原因是病毒不存在了,而autorun.inf这个文件仍然存在...

这个文件的一般内容如下:

复制内容到剪贴板

代码:

[autorun]

open=progict1.exe

shell\open=打开(&O)

shell\open\Command=progict1.exe

shell\open\Default=1

shell\explore=资源管理器(&X)

shell\explore\Command=progict1.exe

open=progict1.exe

如果存在progict1.exe这个文件,当你双击盘符时,就会自动运行这个文件,等号后面可以是完整的文件路径

shell\open=打开(&O)

shell\open\Command=progict1.exe

第一行,将使右键出现一个打开命令,第二行当你选择打开时,实际执行的是progict1.exe这个文件

shell\explore=资源管理器(&X)

shell\explore\Command=progict1.exe

情况类似于上面的,因此用右键打开磁盘也并不一定是安全的.

中毒后正确的做法有:

1,在我的电脑地址栏中输入路径,如C:\

2,单击文件夹图标,从左边树型目录打开.

3,从开始菜单启动资源管理器,从左边树型目录打开

4,利用第三方工具,如winRAR,还是用地址栏.

一般情况,中毒后,先按上述方法找到autorun.inf,用记事本打开它,查看其指向的文件是什么,删除autorun.inf和它所指向的文件,一般来说,其指向的文件和autorun.inf一样也在磁盘根目录,但有时并不一定,也可能在系统目录等.

一般建议关闭自动播放功能:

开始,运行,输入gpedit.msc,打开组策略

计算机配制,管理模板,系统

在右边找到期"关闭自动播放",双击它,改为已启用,并选择所有驱动器,确定.

新增动作:

1,复制自身到系统目录

2,开机自动运行

3,映像劫持某些程序

修正:只允许一个实例运行

解决方法

1,结束进程,其他参照第2课和第4课的内容.

2,删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下名为"演示程序"的键.

3,删除如下映像劫持项目(不带单引号): '360Safe.exe','360tray.exe','avp.exe','CCenter.exe','qq.exe','regedit.exe','msconfig.exe','notepad.exe','cmd.exe','nod32.exe'

4,删除文件:%systemroot%/system32/anti3.exe

注1:真正的病毒可能会添加到多处可自启动的地方,劫持绝大部分安全软件和系统工具等.

注2:由于劫持了注册表,运行演示程序后注册表将打不开,请按上面说的办法解决.(到%systemroot%目录下找到regedit.exe,将其重命名后即可运行)

注3:可能对某些人有用:

360rpt.exe,360Safe.exe,360tray.exe,adam.exe,AgentSvr.exe,AppSvc32.exe,AST.exe,autoruns.exe,avgrssvc.exe,AvMonitor.exe,avp.com,avp.exe,CCenter.exe,ccSvcHst.exe,FileDsty.exe,HijackThis.exe,FTCleanerShell.exe,IceSword.exe,iparmo.exe,Iparmor.exe,isPwdSvc.exe,kabaload.exe,KaScrScn.SCR,KASMain.exe,KASTask.exe,KAV32.exe,KAVDX.exe,KAVPFW.exe,KAVSetup.exe,KISLnchr.exe,KAVStart.exe,KMailMon.exe,KMFilter.exe,KPFW32.exe,KPFW32X.exe,KPFWSvc.exe,KRegEx.exe,krepair.COM,KsLoader.exe,KVCenter.kxp,KvDetect.exe,KvfwMcl.exe,KVMonXP.kxp,KVMonXP_1.kxp,kvol.exe,kvolself.exe,KvReport.kxp,KVScan.kxp,KVSrvXP.exe,KVStub.kxp,kvupload.exe,kvwsc.exe,KvXP_1.kxp,KvXP.kxp,KWatch9x.exe,KWatch.exe,KWatchX.exe,loaddll.exe,MagicSet.exe,mcconsol.exe,mmqczj.exe,mmsk.exe,NAVSetup.exe,PFW.exe,PFWLiveUpdate.exe,QHSET.exe,Ras.exe,Rav.exe,RavMon.exe,RavMonD.exe,SysSafe.exe,TrojanDetector.exe,symlcsvc.exe,SREng.exe,SmartUp.exe,shcfg32.exe,scan32.exe,safelive.exe,runiep.exe,Rsaupd.exe,RsAgent.exe,rfwsrv.exe,RfwMain.exe,rfwcfg.exe,RegClean.exe,rfwProxy.exe,RavTask.exe,RavStub.exe,Trojanwall.exe,TrojDie.kxp,UIHost.exe,UmxAgent.exe,UmxAttachment.exe,UmxCfg.exe,UmxFwHlp.exe,UmxPol.exe,UpLive.EXE.exe,WoptiClean.exe,zxsweep.exe,regedit.exe,msconfig.exe,mmc.exe,taskmgr.exe

(注:本文中的“\”,如有需要体验或者使用,请替换成半角斜线)

点击此处访问 反病毒教程第1课

返回原文

本文导航

相关阅读

每日精选

点击查看更多

首页 手机 数码相机 笔记本 游戏 DIY硬件 硬件外设 办公中心 数字家电 平板电脑