{ margin: 2cm }
P { margin-bottom: 0.21cm }

  提到开机加载(load)项,大家不要以为就是系统启动(run)项。最简单的例子是,杀毒软件或者用户手动删除病毒文件后,注册表中的自动加载信息仍在,登陆系统时就会提示“加载*dll出错,系统找不到指定的模块”,这些dll就是病毒寄生在系统进程之下的加载项。 


加载dll出错

  病毒本身被阻止运行,却“挟系统以令用户”,辗转藏在系统进程后面继续狐假虎威,大行其道;它们被发现并删除后,下次系统登陆、启动服务、初始化用户配置、启动外壳explorer.exe时,依然会按注册表的指示运行rundll32.exe调用这些加载项,这时系统找不到文件实体,就会提示加载失败。虽然不影响使用,但那“嗡”的一声,有如晴天霹雳,让人一开机就憋得慌!点击确定后也一直如坐针毡,总感觉自己中毒了。

  其实,只要在注册表中搜索这个dll删掉,一般就能就地解决。问题是,很多dll在注册表中根本搜索不到,但开机时它就是要弹框!别慌,只要去注册表中如下固定位置扫荡一遍,疏而不漏,总能找到蛛丝马迹。以下位置最前四字母均为首字母缩写,在注册表利器Registry
Workshop
的地址栏中通用,可直接粘贴回车转到,并加入收藏,收藏还可分类哦~Let\’s
Go

  (1WinLoad

HKCUSoftwareMicrosoftWindows
NTCurrentVersionWindowsload 


Windows_load

  如图,这项原本不存在,或者默认为空。如果病毒将自己的dll添加到这里,可想而知系统启动时就会自动加载它。

  (2Notify

HKLMSOFTWAREMicrosoftWindows
NTCurrentVersionWinlogonNotify


Winlogon_notify

  这里是windows登陆“通知”,图中的项都是正常项。以前Windows
正版增值计划通知(WGA)提示Windows不是正版,就是通过wgalogon.dll在这里添加了一个项,登陆时通知调用WgaTray.exe,在托盘弹出提示的。如果病毒也在这里嵌入一个“通知”,开机时当然会有所表现并有所动作。

  (3Userinit

HKLMSOFTWAREMicrosoftWindows
NTCurrentVersionWinlogonUserinit 


Winlogon_Userinit

  当“欢迎使用”或“正在加载个人配置”的窗口飘过后,我们打开任务管理器,可以看到这个Userinit.exe进程逗留了很久方去,它就是用户个人配置初始化程序。其默认值是C:WINDOWSsystem32userinit.exe,(带英文半角逗号),如果这项被修改,加载个人配置时就会难产弹错;如果被改成病毒程序,后果不堪设想。

4LogonShell

HKLMSOFTWAREMicrosoftWindows
NTCurrentVersionWinlogonShell 


Winlogon_Shell

  Shell外壳指的是可视化的用户资源管理界面,默认值Explorer.exe,即显示资源管理器、“我的电脑”、文件夹、桌面、开始菜单、任务栏、托盘的程序。当我们从任务管理器结束Explorer.exe,可看到桌面只剩一张壁纸,文件夹界面全体消失,应用程序窗口仍在。

  如果开机进入桌面后出现这种情况,说明Explorer.exe程序被修改了或在注册表此项被阻止启动了。这时先可试着从资源管理器运行explorer,不行的话从别人电脑里拷贝explorer.exeWindows文件夹覆盖,同时还要进入这里查看Shell的默认值Explorer.exe有没有被篡改,后面有没有被加上“尾巴”即病毒附着在Explorer.exe上面的加载项。

  (5ExplorerAutoRun

HKLMSOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorer 


ExplorerAutoRun

  图中项为Windows某更新所产生的正常项,但注意这里也可以被病毒嵌入加载项。

  (6ShellServiceObjectDelayLoad

HKLMSOFTWAREMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad 


ShellSvcLoad

  这些是“外壳服务”,例如CDBurn是鲜为人知的Window自带刻录功能,SysTray是系统托盘显示程序,这项没了开机后一些托盘图标就会消失。当然病毒加载项也可在这里滥竽充数。

  (7ShellExecuteHooks

HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks 


ShellExeHook

  这是“外壳挂钩程序”,图中正常项对应shell32.dll,包括系统图标、工具栏等界面元素。如果病毒在这里有眼线,它生前一定会随外壳运行,死后也会继续弹框出错。

  以上七家,围剿完毕,加载dll纷纷原形毕露,删之,就能彻底告别那当头一棒的“加载失败”框了!把这些常见位置加入Registry
Workshop
的收藏夹,以后就再也不怕它弹了!当然更多隐秘期待诸君自己积累。

 

 

 

黑与白,阴与阳,正与反,善与恶,对与错,是与非,自古以来都是伴生存在,这是天地的法则。道高一尺,魔高一丈。并不是说魔更厉害,而是意指此消彼长互相倾轧的一个过程。一款好的杀毒软件和安全软件是怎么做出来的?是根据流氓软件、病毒木马的行为习惯加以分析,对起可能利用的漏洞或者隐身场所加以防范。

  一款“毒”的恶意软件病毒木马是怎么做出来的?是根据Windows系统或者安全软件的疏忽或者可乘之处开发出来的。为啥电脑老手都推荐大家使用Windows7Vista而不是继续使用XP,为什么微软也一再建议用户升级使用最新的浏览器,就是因为微软在新版本软件中逐步填补和防范了这些疏忽之处。

  下面软媒小编和大家谈及的就是杀毒软件安全软件和恶意软件都彼此争战的场所,在Windows的注册表中,有恶意软件至爱的7个窝点,更胜于狡兔的三窟啊——

  今天电脑的普及程度之高完全可以说是全社会的普及了,但是随之而来的计算机病毒问题也成了社会问题,尽管杀毒软件每天都在更新,而对抗杀毒软件以及检测工具扫描的病毒爷爷不断地更新,它们有的甚至会关闭杀毒软件以及检测工具。我就遇到过防火墙被关闭,WOW账户被盗。尽管计算机很普及,但是绝大多数用户对于软件的读写知之甚少,很难判断它们藏在哪里。而这种情况下杀毒软件以及安全工具无法运行。这时候要想删除病毒,就必须知道隐藏在哪里,是什么病毒。这里列举说明一些常见反杀病毒的检测位置。

  1、大名鼎鼎的AV终结者变种程序在开机时启动双进程坚守、关闭杀毒程序。一般来说,发现防火墙被关闭,就有可能是它光临驾到了。检测HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun是否有它的踪影。这里属于常规启动项,很多程序会写在这里。

  2、如果杀毒软件难于清理、或被关闭了杀毒程序,也有可能是被执行挂钩了。这时候应当检测HKLMSoftwareMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks,大量恶意软件以及病毒均会写入这里。因为,很少有正常程序会写入这里,病毒几率非常大。

  3、有的时候,安全模式也加载,杀毒程序被关闭了。这有可能就是机器狗新变种或磁碟机变种在作梗。重点检查一下HKLMSOFTWAREMicrosoftWindowsNTCurrentVersionWindowsAppinit_Dlls。很少有正常程序会写入这个位置,病毒几率极高。

  4、灰鸽子是很有名的病毒了,现在出想了它的变种,而且难于发现与清理,可以关闭杀毒程序。由于病毒是写入底层服务与rootkits驱动,所以才导致清除困难。用户可以重点检查HKLMSystemCurrentControlSetServices

  5、如果发现某个特定文件名的文件无法执行了,十有八九是被映像劫持,重点排查HKLMSoftwareMicrosoftWindowsNTCurrentVersionImageFileExecutionOptions,大多数AV病毒均会写在这里。当然,被劫持的文件不一定是exe文件。有的病毒为了防止ani.ani还原病毒主文件,便劫持ani.ani文件。

  6、飘雪变种病毒可以将杀毒软件安装文件进行删除,而且会修改hosts文件、在QQ目录下写入隐藏的病毒dll并且修改APIHOOH。这时可以重点检查HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerSharedTaskScheduler

  7HKLMSOFTWAREMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad,值得一提的是,上述分析工作需要具备常用软件以及操作系统丰富的使用经验,对于注册表和操作系统不甚了解的用户建议重装系统。本文仅例举了几个常见的反杀病毒的关注位置供大家参考。其实,具有反杀能力的病毒还很多,欢迎广大读者朋友们给与斧正和指教。

  啊,至于你希望把这些东西用在安全防范上还是想做点坏事,这个要谨记勿以恶小而为之的古训啊。

转载:百度文档

版权声明:本文为xiaofengkang原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://www.cnblogs.com/xiaofengkang/archive/2011/06/06/2073578.html