|
|
本帖最后由 天若有情 于 2014-7-5 10:12 编辑 * M6 m0 x: C# }" L0 q- h2 E v
8 E9 g4 f% h, \% T# R
我们知道,Windows中有自带的启动文件夹,它是最常见的启动项目,但很多人却很少注意仔细检查它。如果把程序装入到这个文件夹中,系统启动就会自动地加载相应程序,而且因为它是暴露在外的,所以非常容易被外在的因素更改。
6 ?* F3 h1 w; T: |7 Z 一、具体的位置是“开始”菜单中的“启动”选项 F: W5 G, [. K" d% Z. x' y$ p
在硬盘上的位置是:C:/Documents andSettings/Administrator/“开始”菜单程序启动;
1 h) c8 M$ b% p* k9 Q! o! e' @8 n 在注册表中的位置是:) K- T& W( x" Q. e
HKEY_Current_USER/Software/Microsoft/Windows/CurrentVersion/Run, i# b0 F; R; P7 H/ D6 w
二、Msconfig
; |/ d; Z# u8 A4 I6 r7 I. M! x6 j+ L Msconfig是Windows系统中的“系统配置实用程序”,它管的方面可够宽,包括:system.ini、win.ini、启动项目等。同样,里面也是自启动程序非常喜欢呆的地方!- n8 W" Q t' b
1.System.ini: L& k1 Q: P* b& {4 k
首先,在“运行”对话框中输入“msconfig”启动系统配置实用程序(下同),找到system.ini标签,里面的“shell=……” 就可以用来加载特殊的程序。如果你的shell=后面不是默认的explorer.exe,或者说后面还有一个程序的名字,那你可要小心了,请仔细检查相 应的程序是否安全!0 k6 T6 F6 _: y
2.Win.ini
% D4 f( ~ E/ M 如果我们想加载一个程序:hack.exe,那么可以在win。ini中用下面的语句来实现:
, W+ ]* z7 t1 S3 C2 T& b7 r, v [windows]3 ]. B& g) V& M
load=hack.exe5 g9 U6 _ m. L8 _7 b0 E- j
run=hacke.exe) w5 u0 S" |3 c/ C8 {. r4 f
3.“启动”项目
. V! a/ I. l& d 系统配置实用程序中的启动标签和我们上面讲的“启动”文件夹并不是同一个东西,在系统配置实用程序中的这个启动项目,是Windows系统启动项目的集合地。几乎所有的启动项目都能在这里找到——当然,经过特殊编程处理的程序可以通过另外的方法不在这里显示。7 ~; ~ V- r( I' b9 t3 o( }
打开“启动”标签,“启动项目”中罗列的是开机启动程序的名称,“命令”下是具体的程序附加命令,最后的“位置”就是该程序在注册表中的相应位置。你可以对可疑的程序进行详细的路径、命令检查,一旦发现错误,就可以用下方的“禁用”来禁止该程序开机时候的加载。
1 j1 s- v% b& c) f2 d8 ~, { 一般来讲,除系统基于硬件部分和内核部分的系统软件的启动项目外,其他的启动项目都是可以适当更改的,包括:杀毒程序、特定防火墙程序、播放软件、内存管理软件等。也就是说,启动项目中包含了所有我们可见程序的列表,你完全可以通过它来管理你的启动程序。' g( Y* F2 ^6 i1 S8 j$ k2 W
三、注册表中相应的启动加载项目6 Y( s; H& ^/ T/ N: p
注册表的启动项目是病毒和木马程序的最爱!非常多病毒木马的顽固性就是通过注册表来实现的操作系统下载,所以平常的时候可以下载一个注册表监视器来监视注册表的改动,魔方(点此下载)的后续版本中也将加入一系列的安全方面的功能用于监视恶意软件对系统的修改等等。特别是在安装了新软件或者是运行了新程序的时候,一定不要被程序漂亮的外表迷惑。一定要看清楚它的实质是不是木马的伪装外壳或者是捆绑程序!必要的时候可以根据备份来恢复注册表,这样的注册表程序网上很多,这里也就不再详谈了。# G, t$ ?9 |1 f5 [
我们也可以通过手动的方法来检查注册表中相应的位置,虽然它们很多是和上文讲的位置重复,但是对网络安全来讲,小心永远不嫌多!
0 Y" S, H1 l) R3 Z; x' w4 i; j 注意同安全、清洁的系统注册表相应键进行比较,如果发现不一致的地方,一定要弄清楚它是什么东西!不要相信写在外面的“system”、 “windows”、“programfiles”等名称,谁都知道“欲盖弥彰”的道理。如果经过详细的比较,可以确定它是不明程序的话,不要手软,马上 删除!9 y z& f9 c0 r; g$ v
四、Wininit.ini
; e- S/ T" g) c7 Q. Y# d9 u 我们知道,Windows的安装程序常常调用这个程序来实现安装程序后的删除工作,所以不要小看它,如果在它上面做手脚的话,可以说是非常隐蔽、非常完美的!' v$ O7 O* `9 w% k8 E
它在系统盘的Windows目录下,用记事本打开它(有时候是wininit.hak文件)可以看到相应的内容。很明显,我们可以在里面添加相 应的语句来达到修改系统程序或者是删除程序的目的。如果是文件关联型木马,可风林火山系统以通过winint.ini来删除它感染后的原始文件,从而达到真正隐藏自己!; a1 O0 B2 B2 n1 w5 Y
五、DOS下的战斗
0 m2 \5 {( V/ v* w3 U 最后,我们说说DOS下的启动项目加载,config.sys、autoexec.bat、*.bat等文件都可以用特定的编程方式来实现加载程序的目的。所以不要以为DOS就是个过时的东西,好的DOS下编程往往能达到非常简单、非常实用的功能。
) [( q Z4 G/ |( F- i& \% ] |
|
发表于 2014-7-5 10:01:20