病毒侵入計算機后,通常都會實現(xiàn)自啟動。找到并清除其自啟動項將極大的限制其危害。通常最簡單的方法是系統(tǒng)自帶的“系統(tǒng)配置實用程序”。在運行里輸入msconfig回車,在啟動標簽里,顯示了一部分的系統(tǒng)啟動項目,通過簡單的勾選可以選擇要啟動的項目。然而對于系統(tǒng)本身來說,這里沒有一個啟動項是必須的,可以全部去掉也沒什么關(guān)系。通常的做法是保留ctfmon(系統(tǒng)輸入法),選擇保留其他的自己的程序。
更加多的啟動項就要到注冊表里尋找了。運行regedit啟動注冊表編輯器,查找定位到一些啟動位置看看是否又異常。以比較常見的位置來說,HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\下的Run、RunOnce、RunOnceEx、RunOnce\Setup、RunServices、RunServicesOnce以及HKEY_CURRENT_USER分支下對應(yīng)的這些位置,都可以被利用,其中又尤以Run下的改動最為常見。事實上msconfig所列出的也就是注冊表里的東西。另外還有HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Policies\Explorer\Run及HKEY_CURRENT_USER對應(yīng)位置等,網(wǎng)上搜索應(yīng)可以找到一些更加偏的位置,雖然同樣可以利用,但是通常比較少見。而對于“C:\Documents and Settings\用戶名\開始菜單\程序\啟動”里的所有快捷方式,系統(tǒng)會自動啟動。這可以方便的先自己希望自啟動的程序。此位置并不常被利用,但還是要留意下。更詳細的啟動項位置關(guān)系可以google下,知道了啟動的順序、作用可以更清楚地了解這個過程,在此不再復(fù)述。 對于可疑的自啟動項,可以直接刪除。并且還要對注冊表全面關(guān)鍵字搜索,直接確定的就刪除,無法確定的就上網(wǎng)查找信息。而在修改之前,對于猶如系統(tǒng)數(shù)據(jù)庫般的注冊表,同樣要本著備份的思想。備份的方法是在注冊表編輯器里右擊要備份的分支,然后“導(dǎo)出”,F(xiàn)在形形色色注冊表備份工具,也給注冊表的備份和恢復(fù)提供了便利。
運行services.msc可以啟動系統(tǒng)服務(wù)配置。如果病毒成功的獲取了系統(tǒng)權(quán)限,成功的注冊成了系統(tǒng)服務(wù),那么這里也是不能放過的。通常在這里優(yōu)化系統(tǒng)的服務(wù)可以減少必要的進程從而達到優(yōu)化系統(tǒng)的目的。這些服務(wù)設(shè)置為自動則會在開機時自啟動,設(shè)置為手動則是在必要是調(diào)用啟動。對于危險項(比如Remote Registry)則通常是禁用的。
病毒注冊成服務(wù)后,有些很明顯,沒有描述啟動位置也很可疑,有些則會偽裝。下圖是我以前遇到過的一個例子,這讓人想起了進程里的偽裝,雖然拙劣但是用心良苦。
修改服務(wù)時,最好也做好備份,可以導(dǎo)出注冊表對應(yīng)分支HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services。
出處:藍色理想
責(zé)任編輯:moby
上一頁 淺談手工殺毒 [2] 下一頁 淺談手工殺毒 [4]
◎進入論壇計算機技術(shù)版塊參加討論
|