自启动项的检查与清除,毫无疑问是查杀木马的关键手段与 *** 。而且,清掉木马的自启动项,让其自然而亡,是更优雅的杀马 *** ,不那么暴力也就轻易不会遇到反击。对驱动级的或注入型的木马,这种手段更显其优越性。 而自启动项的选择与设置,更是一种创意的体现,一些非技术型的木马通常可在此看到其作者非同一般的创造性思维。 自启动,顾名思义,就是无须用户干预而自行启动的程序,按启动方式又分为两种,一种是开机自运行的程序;一种是触发式启动的程序。 下面我们将分别来解剖之,但在此之前,我们先要学习一些基础的知识: 1、注册表基础 由于大多数的自启动位置都在注册表中,所以,首先,我们需要了解“注册表”是什么。 注册表从功能上说,它是一个存储各种设置信息的数据仓库,系统的全部设置几乎都存在那里,比如:你用的是什么墙纸、什么屏保、IE的首页、IE窗口的大小等等。当然了,开机时需要加载的驱动、开启的服务、运行的程序等等也都存储在这里。 而从实质上来说呢,注册表其实是由一些记录配置信息的文件组成的,这些文件中的大部分存在“\Windows\System32\Config\”目录下,还有一部分存在用户配置文件夹中,也就是下面将要讲到的03-24图中的用户文件夹中。 这些文件有一个很难听的名字叫做储巢,也就是朋友可能听过的HIVE文件。 由于注册表对系统实在是太重要的了,任何损坏都有可能造成系统彻底的崩溃,所以,系统对注册表的保护也是很严密的,正常情况下,你无法对注册表HIVE文件进行任何的直接操作,看下图03-18: 你不仅无法打开、修改,你甚至无法进行拷贝操作。而系统保护注册表的手段,就是由系统以独占的方式打开注册表文件,这样你的任何针对此文件的操作,都将被拒绝。下面,我们来验证一下,看下图03-19: 打开狙剑,选择“进程管理”,在进程列表中选中“system”进程,再选择“查看打开的文件”,就可以看到系统打开的所有文件,看上图中蓝条选中的那一项,是不是就是我们无法进行操作的“\Windows\System32\Config\system”文件呢? 注意:狙剑提供了关闭其它进程打开的文件的功能,关闭后,本来无法操作的文件就可以进行正常的操作了。但是,那是对付木马的,而不是对付系统的,因为木马也同样可以利用独占打开的方式来禁止我们对其文件的访问。关闭系统打开的关键文件将发生无可预料的结果,切勿偿试!(关于文件相关的内容,我们在以后的章节中会有详细的讲解。) 那我们是否就无法操作注册表了呢?当然不是,系统在保护注册表文件的同时,也提供了操作注册表的工具-“注册表编辑器”。 在“开始”菜单中,选择“运行”,输入“regedit.exe”就可以打开注册表编辑器,打开后的情况是这样的,看下图03-20: 上面的各项称为“键”,最上层的是“根键”下面的叫做“子键”,其与上面我们说的注册表文件一一对应,对应关系如下: l HKEY_LOCAL_MACHINE\SAM à Windows\System32\config\sam l HKEY_LOCAL_MACHINE\SECURITY à Windows\System32\config\security l HKEY_LOCAL_MACHINE\SOFTWARE à Windows\System32\config\software l HKEY_LOCAL_MACHINE\SYSTEM à Windows\System32\config\system l HKEY_USERS\.DEFAULT à Windows\System32\config\Default l HKEY_USERS\S-1-5-XX_XXX à \Documents and Settings\<用户名>\Ntuser.dat l HKEY_USERS\S-1-5-XX_XXX_Classes à\Documents and Settings\<用户名>\Local Settings\Application Data\Microsoft\Windows\Usrclass.dat 还有其它的键呢?又对应哪些文件呢?呵,这要从注册表的数据类型说起了,除了上面的键外,其它的几个键是属于REG_LINK类型,直翻过来就是“注册表链接”了,这种类型的键是透明的指向另一个键的一个链接,也可以理解成这些键只是另外的某个子键的快速入口或某类相似键的汇总而已,本身并没有文件,其链接的键对应如下: l HKEY_CLASS_ROOT 中的内容来自于下面的两个注册键: HKEY_LOCAL_MACHINE\SOFTWARE\Classes HKEY_CURRENT_USER\SoftWare\Classes |
无需他人愿意如何定位(不用通告另一方精准定位他人部位)近日,有网民和二师兄调侃,自身的手机上好像被女友精准定位了一般,另一方对自身的行迹彻底了然于胸。难道说自身的iPhone被“悄悄”精准定位了?...
逐渐的蚂蚁庄园里,我们可以答复庄园小课堂的难点,假如适度答复就能得到 小鸡的颗粒饲料哦。5月6日每天难点是:大象一样平时有身多久才能够生下一个象宝宝?相关这个问题的回复很多 玩家都不太领悟,假如大家...
假如是做好的狗肉的价值应该是80——100元之间吧。活狗就相对自制一些的。或许在20元阁下吧。 (山东五湖肉狗养殖场)每条肉狗幼苗150元阁下,饲料每条肉狗天天平均2元(5个月出栏) 10x3...
2012伦敦奥运男子400米自由泳冠军是中国的孙杨。2012年7月29日,在2012年伦敦奥运会男子400米自由泳决赛中,孙杨以3。 作为世界著名的游泳名将,孙杨已经成为了我国的明星运动员,这对全世界...
还有一个垂钓网站,它假装成了官方的权游在线商城,而它的首要意图是收集权游粉丝的信用卡详细信息:WordPress运用广泛,算是一个比较全面杂乱的内容管理体系了,以至于对它的每个缝隙运用都能成为一门独立...
跟着地摊经济的鼓起,许多人都跃跃欲试,筹备插手地摊雄师了。可是,你想过一个问题吗 —— 假如要摆地摊,应该怎么开始?又该如何实现盈利?本文作者从流量与盈利的干系出发,团结超等产物的5个要害词,对科学摆...