3)autorun.inf啟動方式
雖說特殊但是比較常見,主要拜U盤病毒所賜,以前常見於光盤中,用於光盤自啟動,每次光盤放入光驅中系通過這個文件是否自動啟動光盤,這個文件可以用啟動一些文件。
[autorun]
OPEN=可執行文件.exeICON=相關的圖標文件.ico
最關鍵的是autorun.inf文件是可以被用於硬盤驅動器上的,也是就是說把光盤內容全部複製到硬盤根目錄下,雙擊該盤符,文件就自動運行了,所以被廣泛用於U盤病毒上。
4)古老啟動——批處理自啟動
autoexec.bat位於系統盤根目錄(當然是隱藏文件),它每次開機的時候都會啟動,早期病毒就看中它,利用deltree、format等危險命令來破壞數據。 98系統中還有個winstart.bat位於windows文件夾中,每次開機都會啟動。但是在2003、xp、me默認都不會啟動。
其他啟動
windows配置文件包括win.ini、system.ini、wininit.ini也會被加載的。驅動sys的啟動、系統的dll的啟動劫持和各種HOOK。具體HOOK為inline hook、iat hook、object hook、SSDT hook、FSD hook、message hook、kernel hook、idt hook。驅動的各種加載方法:全局鉤子、遠程注入、rootkit、bootkit、power rootkit。
備註:
Home版的XP中沒有提供gpedit工具,可到網上搜索並下載補丁。
啟動項的查看
msconfig
快速進入啟動項的方法是在運行中輸入msconfig ,即可看到窗口下的啟動項運行項目。
在"開始“-“運行”對話框中輸入“msconfig”就打開“系統配置實用程序”。
msconfig是Windows系統中的“系統配置實用程序”,它可以自動執行診斷xp系統的配置問題時所用的常規解決步驟。它管的方面可夠寬,包括:一般(常規)、system.ini、win.ini、BOOT.INI、服務、啟動。它是xp系統底層最先啟動的程序,可見它的重要性了。這裡面可是自啟動程序非常喜歡呆的地方。
這裡我們只介紹一下“啟動”
系統配置實用程序中的“啟動”選項和我們在下面講的"啟動"文件夾並不是同一個東西,在系統配置實用程序中的這個啟動項目是Windows系統啟動項目的集合地,幾乎所有的啟動項目部能在這裡找到----當然,經過特殊編程處理的程序可以通過另外的方法不在這裡顯示。
打開“啟動”標籤,“啟動項目”中羅列的是開機啟動程序的名稱,“命令”下是具體的程序附加命令,最後的"位置"就是該程序在註冊表中的相應位置了,你可以對可疑的程序進行詳細的路徑、命令檢查,一旦發現錯誤,就可以用下方的"禁用"來禁止該程序開機時候的加載。
一般來講,除系統基於硬件部分和內核部分的系統軟件的啟動項目外,其他的啟動項目都是可以適當更改的,包括:殺毒程序、特定防火牆程序、播放軟件、內存管理軟件等。也就是說,啟動項目中包含了所有我們可見的程序的列表,你完全可以通過它來管理你的啟動程序,換句話,這裡可以全部是空的。
註冊表中相應的啟動加載項目
註冊表的啟動項目是病毒和木馬程序的最愛,非常多的病毒木馬的頑固性就是通過註冊表來實現的,特別是在安裝了新的軟件程序,一定不要被程序漂亮的外表迷惑,一定要看清楚它的實質是不是木馬的偽裝外殼或者是捆綁程序,必要的時候可以根據備份來恢復註冊表。
我們也可以通過手動的方法來檢查註冊表中相應的位置,注意同安全、清潔的系統註冊表相應鍵進行比較,如果發現不一致的地方,一定要弄清楚它是什麼東西!不要相信寫在外面的“system”、
“windows”、“programfiles”等名稱,尤其是如果你仔細觀察的話,有些字符是不一樣的,比如0和o的區別,1和l的區別等,如果經過詳細的比較,可以確定它是不明程序的話,不要手軟,馬上刪除。
主要的啟動加載鍵值有
“Explorer\Run”鍵值──在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run〕和〔HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run〕下。
“RunServicesOnce”子鍵──在〔HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce〕和〔HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce〕下。
“RunServices”子鍵──在〔HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices〕和〔HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices〕下。
“RunOnce”子鍵──在〔HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce〕和〔HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce〕下。
|