- 鐵幣
- 1615 元
- 文章
- 241 篇
- 聲望
- 899 枚
- 上次登入
- 11-8-15
- 精華
- 3
- 註冊時間
- 04-6-12
- UID
- 27019
|
我來利用我的電腦說明好了..
我使用win2000 sp4 並使用軟硬體2道防火強,
利用賽門鐵克,卡巴斯基,驅勢,f-secure,Ad-aware找不到木馬病毒環境,
附近還有win xp sp1和sp2 2台電腦,
3台電腦皆有svchost.exe和那3條機碼,
正常來說只要是windows就算是封閉型電腦,也都會有這4樣東西.
再來看圖說故事..
了解一下這3條機碼做什麼?
HKET_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HEKY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run
1..HKET_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
你們可以核對藍箭頭地方,看我有沒有找錯.
這裡面只有1個,他是做什麼用?以下是網路找的資料.
「internat.exe」是 windows 為了非英語的 windows 版本能顯示鍵盤配置狀況(也就是輸入法切換),所提供的一常駐程式。
後面還有嘩啦啦一堆,有興趣自己找.
2..HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
這東西多了點,編號解釋一下..
1和6是賽門鐵克防火強和防毒的一些東西
2和3是windows運算用的東西
4是顯示卡工具程式
5是音效卡工具程式
7是RealPlayer的東西
本來裡面還有印表機工具.系統備份,磁碟監控等等,好幾個機碼,
覺得佔記憶體,都被我砍掉了.
3..HEKY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run
同上..自己看.
所以要砍光光?再考慮看看吧...
另外告訴一個小知識..
假設..今天你利用掃毒程式找到一個木馬叫"木馬A.EXE"
而且"木馬A"是利用以上機碼來做載入,
那你可能在機碼內看到這樣的東西..
你可以把"木馬A"這條機碼刪除,
那開機"木馬A"就不會運作,但是"木馬A.EXE"這木馬仍存在,只是不會動.
反過來說..
如果一開始找到就把"木馬A.EXE"這程式給砍了,
那機碼內的"木馬A"那個機碼,不管他也無所謂,因為程式都沒了.
木馬載入方式非常多,上面是打比方,必須依實際狀況來處理才是正確的.
[ 本文最後由 MoonElf 於 06-8-14 10:31 PM 編輯 ] |
|