修改注册表防电脑病毒的方法有哪些

修改注册表防电脑病毒的方法有哪些

　　木马取自古希腊神话的特洛伊木马记，是一种基于远程控制的黑客工具，具有很强的隐藏性和危害性。为了达到控制服务端主机的目的，木马往往要采用各种手段达到激活自己，加载运行的目的。这里，我们简要的介绍一下木马通用的激活方式，它们的藏身地，并通过一些实例来让您体会一下手动清除木马的方法。

　　●在Win.ini中启动木马：

　　在Win.ini的[Windows]小节中有启动命令“load=”和“run=”，在一般的情况下“=”后面是空的，如果后面跟有程序，比如：

　　run=C:Windows ile.exe

　　load=C:Windows ile.exe

　　则这个file.exe很有可能就是木马程序。

　　●在Windows XP注册表中修改文件关联：

　　修改注册表中的文件关联是木马常用的手段，如何修改的方法已在本系列的前几文中有过阐述。举个例子，在正常情况下txt文件的打开方式为Notepad.exe(记事本)，但一旦感染了文件关联木马，则txt文件就变成条用木马程序打开了。如著名的国产木马“冰河”，就是将注册表HKEY_CLASSES_ROOT xtfileshellopencommand子键分支下的键值项“默认”的.键值“C:Windows otepad.exe %1”修改为“C:WindowsSystemSysexplr.exe”，这样，当你双击一个txt文件时，原本应该用记事本打开的文件，现在就成了启动木马程序了。当然，不仅是txt 文件，其它类型的文件，如htm、exe、zip、com等文件也都是木马程序的目标，要小心。

　　对这类木马程序，只能检查注册表中的HKEY_CLASSES_ROOT中的文件类型shellopencommand子键分支，查看其值是否正常。

　　●在Windows XP系统中捆绑木马文件：

　　实现这种触发条件首先要控制端和服务端已通过木马建立连接，控制端用户使用工具软件将木马文件和某一应用程序捆绑在一起，上传到服务端覆盖原有文件，这样即使木马被删除了，只要运行捆绑了木马的应用程序，木马又会被重新安装了。如果捆绑在系统文件上，则每次Windows XP启动都会启动木马。

　　●在System.ini中启动木马：

　　System.ini中的[boot]小节的shell=Explorer.exe是木马喜欢的藏身之所，木马通常的做法是将该语句变为这样：

　　Shell=Explorer.exe file.exe

　　这里的file.exe就是木马服务端程序。

　　另外，在[386enh]小节，要注意检查在此小节的“driver=path程序名”，因为也有可能被木马利用。[mic]、[drivers]、[drivers32]这三个小节也是要加载驱动程序的，所以也是添加木马的理想场所。

　　●利用Windows XP注册表加载运行：

　　注册表中的以下位置是木马偏爱的藏身之所：

　　HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion子键分支下所有以“run”开头的键值项数据。

【修改注册表防电脑病毒的方法有哪些】相关文章：

人口计生法修改内容有哪些08-31

预防电脑病毒的方法09-28

电脑病毒的防治方法09-30

戒烟方法有哪些02-23

职场减压方法有哪些04-01

企业培训方法有哪些11-15

学习方法有哪些02-22

绩效考评方法有哪些02-27

hr面试方法有哪些02-18