本次课程打算把所有启动位置讲完,以及一些特殊的启动方式,算是比较高级了,学完本课,与反病毒相关的基础也就差不多了,接下来的课程重在实践了,手工杀毒,日志分析等.
屏幕保护启动
六,屏幕保护启动
注册表位置:HKEY_CURRENT_USER\Control Panel\Desktop
键 SCRNSAVE.EXE,值为一SCR文件,如C:\WINDOWS\system32\logon.scr,大家可以在%systemroot% \system32目录下搜索所有扩展名为scr的文件.实际上它和exe文件一样,是一个可执行文件,文件关联为"%1" /S,双击即可立即启动屏幕保护程序.
该项目下一些键的作用:
SCRNSAVE.EXE指定屏幕保护程序的文件路径,默认值为C:\WINDOWS\system32\logon.scr,如果此处的值为一exe文件,应引起高度重视.
ScreenSaveActive如果该值为0,表示禁用屏幕保护.
ScreenSaverIsSecure如果该值为1,表示从屏保状态恢复过来时需要输入密码.
ScreenSaveTimeOut空闲多少时间后启动屏幕保护程序,单位为秒,可设置的范围为0~86400,如果设为0则表示不启动.
七,浏览器加载启动
这个有点特别,只有当启动浏览器时,才会被加载.
这些加载项一般是来自网络,还有一部分是来自捆绑软件,当然也有安全软件的插件.有的未验证的加载项其实也很好用,但是有的则不是了,可能会造成系统不稳定,或者是引起IE遇到问题需要关闭等.
如何来管理这些加载项:
在浏览器上点工具,Internet选项,程序,管理加载项.在这里可以启用或禁用某个加载项.要想完全删除还得靠注册表或第三方工具.
(注意:只有WIN XP SP2以上操作系统才有这个功能)
广义上的浏览器加载项分为好几种,包括ContextMenu(右键快捷菜单),BHO(浏览器辅助对象),Entension,ActiveX,Band,Button(按钮),ToolBar(工具条)等,下面一个个来详细讲下.
1,ContextMenu(右键快捷菜单),注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt
在这里的项会出现在浏览器右键菜单中,可以将不需要的删除,通常指向本地的一个网页.
2,BHO(浏览器辅助对象,Browser Helper Objects),注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows \CurrentVersion\Explorer\Browser Helper Objects,这里又是一些CLSID.如果被病毒利用,往往很难清理干净.
比如我这里的第一个是 {00000000-12C9-4305-82F9-43058F20E8D2},利用查找功能,找到这个CLSID的位置 HKEY_CLASSES_ROOT\CLSID\{00000000-12C9-4305-82F9-43058F20E8D2},选中 InprocServer32,右边就可以看到真正加载的文件了,我这里的值为X:\Program Files\Tencent\QQDownload\QQIEHelper02.dll
3,ActiveX,当我们浏览到特定的网页时,浏览器自动下载插件并提示用户安装.ActiveX安装必须经过用户的同意及确认(会下载到%systemroot%\Downloaded Program Files目录,并注册).但也可以通过其他方式安装.
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility
和BHO类似,也是一些CLSID,其下有一名为Compatibility的键,当它的值为400时表示禁用该ActiveX.
浏览器用久了,插件安装卸载的次数多了,这里很容易产生一些无效的CLSID,无法在HKEY_CLASSES_ROOT\CLSID下找对应的,这些是可以删除的.
4,ToolBar(工具条),注册表路径,HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar,还是CLSID,不多讲...
网友评论