從計(jì)算機(jī)病毒的發(fā)展趨勢(shì)來(lái)看，蠕蟲(chóng)和木馬類的病毒越來(lái)越多。與普通感染可執(zhí)行文件的文件型病毒不同，此類程序通常不感染正常的系統(tǒng)文件，而是將自身作為系統(tǒng)的一部分安裝到系統(tǒng)中。相對(duì)來(lái)說(shuō)，此類病毒的隱蔽性更強(qiáng)一些，更不容易被使用者發(fā)覺(jué)。

　　但是無(wú)論什么樣的病毒程序在感染系統(tǒng)時(shí)都會(huì)留下一些蛛絲馬跡。在此我們總結(jié)一下各種病毒可能會(huì)更改的地方，以便能夠更快速地找到它們。

　　一、更改系統(tǒng)的相關(guān)配置文件

　　這種情況主要是針對(duì)老系統(tǒng)。

　　病毒可能會(huì)更改autoexec.bat，只要在其中加入執(zhí)行病毒程序文件的語(yǔ)句即可在系統(tǒng)啟動(dòng)時(shí)自動(dòng)激活病毒。*更改drive:\windows\win.ini或者system.ini文件。病毒通常會(huì)在win.ini的“run=”后面加入病毒自身的文件名，或者在system.ini文件中將“shell=”更改。

　　二、更改注冊(cè)表健值

　　目前，只要新出的蠕蟲(chóng)/特洛伊類病毒一般都有修改系統(tǒng)注冊(cè)表的動(dòng)作。它們修改的位置一般有以下幾個(gè)地方：

　　HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\

　　說(shuō)明：在系統(tǒng)啟動(dòng)時(shí)自動(dòng)執(zhí)行的程序

　　HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\

　　說(shuō)明：在系統(tǒng)啟動(dòng)時(shí)自動(dòng)執(zhí)行的系統(tǒng)服務(wù)程序

　　HKLM\Software\Microsoft\Windows\CurrentVersion\Run\

　　說(shuō)明：在系統(tǒng)啟動(dòng)時(shí)自動(dòng)執(zhí)行的程序，這是病毒最有可能修改/添加的地方。 例如：Win32.Swen.B病毒將增加：HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ucfzyojza= “cxsgrhcl.exe autorun”

　　HKEY_CLASSES_ROOT\exefile\shell\open\command

　　說(shuō)明：此鍵值能使病毒在用戶運(yùn)行任何EXE程序時(shí)被運(yùn)行，以此類推，..\txtfile\.. 或者 ..\comfile\.. 也可被更改，以便實(shí)現(xiàn)病毒自動(dòng)運(yùn)行的功能。

　　另外，有些健值還可能被利用來(lái)實(shí)現(xiàn)比較特別的功能：

　　有些病毒會(huì)通過(guò)修改下面的鍵值來(lái)阻止用戶查看和修改注冊(cè)表：

　　HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools =

　　為了阻止用戶利用.REG文件修改注冊(cè)表鍵值，以下鍵值也會(huì)被修改來(lái)顯示一個(gè)內(nèi)存訪問(wèn)錯(cuò)誤窗口

　　例如：Win32.Swen.B 病毒 會(huì)將缺省健值修改為：

　　HKCR\regfile\shell\open\command\(Default) = “cxsgrhcl.exe showerror”

　　通過(guò)對(duì)以上地方的修改，病毒程序主要達(dá)到的目的是在系統(tǒng)啟動(dòng)或者程序運(yùn)行過(guò)程中能夠自動(dòng)被執(zhí)行，已達(dá)到自動(dòng)激活的目的。

做網(wǎng)站    建網(wǎng)站    龍崗網(wǎng)站建設(shè)    羅湖網(wǎng)站維護(hù)    福田網(wǎng)頁(yè)設(shè)計(jì)