在一个配制文件中,可以有多个字段,一个字段下也可以有多个关键字.字段名必须用中括号括起来.字段名,关键字,值等可以是中文,英文,各种符号等(一般英文居多).对于系统中的配制文件,字段名一定是固定的,关键字大都也是固定的,你不能随意更改成其他名称,只有后面的值才可以改,修
system.ini修改
四.system.ini
曾经是一个非常重要的系统配制文件,早期的病毒或木马常修改这个文件达到开机就启动的目的,现在已经不多见了,但仍然有.NT系统中,几乎所有配制已集成到注册表中,因此现在这个文件的内容比较少了,但仍很有用,系统每次启动都会修改这个文件的内容,不信你可以查看其属性,修改时间.该文件位于%systemroot%/system.ini.也可以通过msconfig来修改..
该文件的配制是相关复杂的,这里只讲和病毒有关的字段及关键字.
[boot]字段的shell=Explorer.exe
注册表位置HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon,键名shell,正常值为Explorer.exe,不正常时可能为Explorer.exe,anti.exe
[386Enh],[mic],[drivers],[drivers32]等字段的driver=驱动程序文件路径.
与驱动有关的注册表路径如下:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\HardwareProfiles
五.Win.ini
和system.ini一样,是一个非常重要且相当复杂的配制文件,幸好,大多数配制已集成到注册表.这里也只讲与病毒加载有关的字段和关键字.
[windows]字段的load和run.
关键字load的注册表路径HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows,键名load.
关键字run的注册表路径同上,键名为run,正常情况这两个键并不存在或其值为空.
六.Wininit.ini
这个文件用于重启时修改或删除文件用的.有些正在运行中的文件是无法被修改或删除的,于是可以用这个文件的配制在下次开机时修改或删除(在这些文件没被加载前),修改或删除成功后,该文件消失,所以一般情况下是看不到这个文件的. 该文件的功能亦被集成到注册表中,注册表路径HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\FileRenameOperations
类型为REG_MULTI_SZ
不能直接编辑该处的键及值,通常是通过API函数MoveFileEx来实现的.
wininit.ini的[rename]字段
关键字是一个文件名,值也是一个文件名,重启时,系统将用值的文件替换关键字的文件,并把值的文件删除.
如果关键字所指定的文件不存为,则实际上是将值所指定的文件重命名为关键字所指定的文件.
如果关键字为nul,则实际上是将值所指定的文件删除.
如:C:\WINDOWS\explorer.exe=C:\WINDOWS\TASKMAN.EXE
文件名必须是完整路径.
七.AUTOEXEC.BAT
不属于配制文件,而是一上批处理文件,但也常被病毒利用,正常情况下该文件没有任何内容,大小为0字节.
这个文件用于存放系统启动时自动执行的命令(一个特殊的批处理文件).如果发现该文件的内容为一可执行文件名,请一定要注意了.
八.CONFIG.SYS
虽然扩展名为sys,但他实际上是一个文本文件(可以用记事本来打开),正常情况下也是空的.如果该文件被改动,应引起注意,特别是device=文件名等这样的配制,系统启动时将加载指定的驱动文件.这个文件就相当可疑.
以上是能和病毒扯上一些关系的配制文件.在NT内核系统中,大多数配制已集成进注册表,但配制文件仍然有效.
(注:本文中的“\”,如有需要体验或者使用,请替换成半角斜线)
网友评论