cnkoo
級別: 管理員

只看樓主 | | | 0 發表于:2009-12-28 22:27

看病毒是如何自啟動的

本文將介紹病毒是如何自啟動的(自動運行)

1.
通過修改注冊表自啟動項,在以下注冊表鍵項上新建字符串,實現隨開機自啟動項一起啟動的目的:
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
這是最原始的方式,被絕大部分病毒采用。但是這種方式沒有什么創意,還容易暴露病毒程序,因此有點技術含量的病毒不會采用這種方式,比如磁碟機病毒幾乎完全淘汰了這種啟動方式!
2.
通過修改帳戶的程序菜單,在如下位置寫入病毒程序或病毒的快捷方式:
C:\Documents and Settings\All Users\「開始」菜單\程序\啟動
典型病毒為smss.exe、Lsass.exe病毒,這種方式倒是有點意思!
3.
通過系統自動播放功能啟動,在autorun.inf文件中寫入病毒代碼,如下所示為auto.exe病毒的autorun文件:
[AutoRun]
shell\open=打開(&O)
shell\open\Command=auto.exe
shell\open\Default=1
shell\explore=資源管理器(&X)
shell\explore\command=auto.exe
雙擊打開磁盤分區或移動存儲設備時,病毒(如auto.exe)被立即激活!
auto.exe一般不會單兵作戰,還有一個幫兇explore病毒,這個病毒程序全名是explore.exe,在windows目錄或system32目錄下,或者名為explorer.exe,在system32目錄下,大小為3~4Kb,啟動方式是第一種。Explore與auto病毒狼狽為奸、相互勾結,處理起來稍有麻煩。
4.
偽裝成系統驅動文件,把病毒文件復制到system32目錄下的drivers子目錄里面里面,跟隨系統啟動。
比如時下流行的HBService32 system.exe病毒,侵入系統后就在drivers目錄下植入HBService32.sys等病毒文件,跟隨系統啟動后,無法查看病毒的進程,注冊表自啟動鍵項被加入病毒system.exe的啟動項,而且注冊表被病毒控制無法修改并保存設置,用一般方法很難對付!
5.
在注冊表HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows 鍵項
右邊窗口添加load 字符串,數值數據為 病毒程序。
比如,load %windows%svchost.exe (autorun.inf病毒,copy.exe host.exe病毒)
6.
在注冊表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows 鍵項
右邊窗口的AppInit_DLLs字符串里面添加病毒的.dll文件,實現自動啟動。
比如蝗蟲軍團病毒。
7.
在注冊表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\ShellExecuteHooks鍵項
右邊添加病毒的dll文件,不過是二進制的字符串值,比如:{AEB6717E-7E19-11d0-97EE-00C04FD91972},從文件名無法判斷是什么類型的文件,因此在注冊表里面搜索這些病毒的dll文件時,查不到。
例如蝗蟲軍團病毒。
8.
以windows任務計劃的方式啟動。
病毒在C:\WINDOWS\Tasks 目錄下建立任務計劃,實現開機自動啟動或在指定的時間段自動發作;
9.
病毒程序直接進駐磁盤分區的虛擬頁面交換文件中,如pagefile.sys、hiberfil.sys;(還有System Volume Information目錄和磁盤引導區等也是病毒藏身的地方。)系統啟動后,當物理內存與虛擬頁面文件之間交換數據時,病毒立即混入內存并激活(是我的個人觀點,經過反復試驗也沒有找到直接證據),這種病毒激活后會很快奪取系統權限,從而受到系統的嚴密保護,死活不讓用戶包括超級管理員帳戶終止病毒的進程!即使終止成功了,也會導致系統立即重啟;重啟后,發現占領系統制高點的不是用戶,也不是殺毒軟件,而是病毒!
此類病毒最難纏,很多中招的電腦用戶把電腦硬盤全部格式化以后,還是未能解決這種病毒。
典型病毒是磁碟機病毒Worm.Win32.DiskGen,這種病毒可能還會從磁盤引導區隨系統啟動(比較復雜,不能確定,硬盤引導區的數據看上去全是亂碼,直接看不懂!只是覺得中毒后引導區的數據多了不少)。

酷網社區提示:
目前越來越多的病毒采用多種方式自啟動,以確保自己在系統啟動時不至于缺席或遲到!跟操作系統和硬件一樣,病毒一直在努力,不斷更新換代,肯定還會有一些新技術被病毒發現并利用,與病毒的這場戰爭,不會有最終的勝利者!
酷網社歡迎您的到來
aion4217
級別: 新手上路
只看該作者 | | | 1 發表于:2010-04-26 09:39

來看看
30选5今天开奖