本次课程打算把所有启动位置讲完,以及一些特殊的启动方式,算是比较高级了,学完本课,与反病毒相关的基础也就差不多了,接下来的课程重在实践了,手工杀毒,日志分析等.
Winlogon事件通知启动
三,Winlogon事件通知启动
当系统开始启动时,这个进程是比较早运行的,如果有事件通知Winlogon.exe,那么Winlogon.exe就是按接到的通知来处理事件,比如启动一个DLL等.即使在安全模式下,该DLL也会被加载,它的启动比服务更早.如果这个DLL是病毒文件的话...
下面来说说winlogon是如何接收事件通知的.
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
它下面的每个项都包含一个处理winlogon在切换状态时发出事件的DLL,winlogon.exe会在启动时加载已经注册的DLL,并且会在系统状态切换时调用注册DLL的事件处理函数.
这里说的状态切换包括登陆,注销,关机,锁定桌面,启动屏保等.
项名是任意的,我们来分析它的键,及值.
DLLName设置发出事件的DLL文件名.
Asynchronous设置是否异步处理winlogon事件,默认值为0,表示同步处理.若设置为1,则为异步处理,此时winlogon.exe将启动一个新线程来处理相应事件.
Impersonate是否以登陆用户的权限来处理事件,默认为0.
Lock锁定桌面时发生的事.它的值为上面DLL文件中的导出函数,下面的也是同样道理.
Logoff注销事件
Logon登录事件
Shutdown关机事件
StartScreenSaver启动屏保事件
StartShell:启动explorer.exe时发生的事件
Startup系统开机事件。
StopScreenSaver停止屏保事件
Unlock解除桌面锁定事件
这个地方的加载希望能引起大家的重视.当某一事件发生时,也许病毒也偷偷地在运行了.一般需要关注的是系统开机事件及登陆事件,说到底,我们要关注的不是事件而是DLLName键的值,从而知道病毒文件路径.
四,任务调度启动
开启Task Scheduler服务后,该种启动方式即生效.它是随explorer.exe启动的共享计划任务.注册表位置:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
正常情况下,该项下只有两个键,键名为一CLSID,值为描述性文字,可以为空.正常的两个键为:
{438755C2-A8BA-11D1-B96B-00A0C90312E1},Browseui 预加载程序,对应的DLL为%systemroot%\system32\browseui.dll
{8C7461EF-2B13-11d2-BE35-3078302C2030},组件类别缓存程序,对应文件也是%systemroot%\system32\browseui.dll
五,组件安装监控启动
注册表位置:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components
微软使用该处键值来确认安装的windows组件,在这里,我们可以看到所有安装组件的列表,同样是以CLSID形式出现的.最重要的一个键是 StubPath,它的值是一条命令,如果IsInstalled的值为0,则每次系统启动时都会执行这个命令,如果这个命令是一个木马文件的话...后果可想而知了,它的加载也是早于其他程序的,现在利用这种启动方式的木马或病毒还比较少,但以后应该会多起来,可能会新建一个项,可能是修改已有项的 StubPath值,也有可能是直接替换系统中的文件.
本人E文菜得很,如果上面的你无法理解,请看原文:
Monitoring of the Active Setup Registry Key
What is the Active Setup?
Why monitor this key?
Microsoft uses this key to setup installed Windows components.
You can see a list of the installed components under the key
HKLM\Software\Microsoft\Active Setup\Installed Components
You should launch RegEdit to view it.
As you can see, the registry key of each component has a list of values.
These values are used by Windows to identify a component.
One of these values, StubPath, is very important.
This value includes a command that Windows executes every time it starts if a value called "IsInstalled," is not set to 1 (binary value).
Active Setup is used by new Trojans to install them to the computer.
This is very dangerous because then Windows launches the Trojan before other programs ARE loaded.
网友评论