第9课教程,主要讲的是特殊DLL,文件关联以及挂钩启动的知识内容。
勾子挂接启动
五.勾子挂接启动
注册表位置:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
很多软件都会利用这个位置,病毒,安全软件等当然也会用.以达到随系统启动的目的,键名是一个CLSID,值为空.根据这个CLSID到 HKEY_CLASSES_ROOT\CLSID下去查找,找到后展开InPrOcservEr32,右边就可以看到对应的DLL文件了.如果是病毒文件,则要删除这两个地方的信息.举例如下:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
键名{288BD9BD-F0DC-46B1-81B5-2B61DF8077CE}值为空
[HKEY_CLASSES_ROOT\CLSID\{288BD9BD-F0DC-46B1-81B5-2B61DF8077CE}\InPrOcservEr32]
默认值为abc.dll
清理时需要删除上面的键名以及整个HKEY_CLASSES_ROOT\CLSID\{288BD9BD-F0DC-46B1-81B5-2B61DF8077CE}项,有时候不是删除,而是修改,主要看这个CLSID是本来就有的还是病毒创建的.
(注:本文中的“\”,如有需要体验或者使用,请替换成半角斜线)
网友评论