from:http://blog.sina.com.cn/hygxchxzyotwmaelg
yotwmaelg
本文相关软件下载地址:yotwmaelg
Wsyscheck(相关软件下载)yotwmaelg
yotwmaelg
yotwmaelg
yotwmaelg
下载这些绿色软件,如下界面yotwmaelg
 yotwmaelg
yotwmaelg
下面,我们将按照一般顺序,展开对病毒的查杀。因为是面对初学者写的,所有表格中的内容(绿色字)可以不看,他是对某一功能或某一原理的详细介绍。yotwmaelg
yotwmaelg
这里所谓的顺序,并不是绝对的,只是个一般过程,根据个人习惯或实际情况,完全可以更改。yotwmaelg
yotwmaelg
首先,运行Wsyscheck,全面绞杀木马病毒。在这中间,可以使用任务管理器软件,查看进程的属性,例如映像、服务、安全、TCP/IP、线程,堆栈等等。然后运行 启动项目查看软件,清理木马病毒的开机启动项目,最后使用 SREngPS ,对系统进行基本的简单的修复。yotwmaelg
yotwmaelg
㈠、Wsyscheckyotwmaelg yotwmaelg
现在,运行 Wsyscheck ,由于新浪博客里上传图片显示起来并不方便,所以本文教程将尽可能的少用图片。yotwmaelg
yotwmaelg
Wsyscheck是一款功能强大且丰富的手动清除木马病毒的工具。强烈推荐大家在杀毒和远程杀毒时使用。此软件只有一个文件:Wsyscheck.exe。Wsyscheck的窗口本身已采取随机字符,如果仍然被木马禁用,请将Wsyscheck改名后运行。yotwmaelg
说明:yotwmaelg
如果你下载的软件包含DOS删除功能,那么就还有一个附加WdosDel.dat文件。WdosDel.dat不是Wsyscheck运行所必须的,删除后将不再显示Dos删除功能。一般情况下“重启删除”已经可以删除大多数的木马文件,所以如携带不便也可以删除WdosDel.dat。yotwmaelg
yotwmaelg
进程页中查看模块与服务页中查看服务描述可以使用键盘的上下键控制,这一点在远程使用时比较方便。yotwmaelg
说明:yotwmaelg
关于Wsyscheck启动后状态栏的提示“警告!程序驱动未加载成功,一些功能无法完成。”yotwmaelg
多数情况下是安全软件阻止了Wsyscheck加载所需的驱动,这种情况下Wsyscheck的功能有一定减弱,但它仍能用不需要驱动的方法来完成对系统的修复。yotwmaelg
驱动加载成功的情况下,对于木马文件可以直接使用Wsyscheck中各页中的删除文件功能(即先用强删除功能消灭木马文件),执行完后重启系统,,再清除它的启动项,注册表项等加载途径。yotwmaelg
yotwmaelg
一、菜单-软件设置: (清除病毒的前期准备工作要做好)yotwmaelg
yotwmaelg
模块、服务简洁显示:(默认打开),简洁显示会过滤掉微软文件不显示,方便查找病毒进程、文件和模块。yotwmaelg
yotwmaelg
校验微软文件签名:(默认关闭),在使用了“校验微软文件签名”功能后,通不过的微软签名验证文件也会显示出来。yotwmaelg
在使用“软件设置”-“校验微软文件签名”后,紫红色显示未通过微软签名的文件。同时,在各显示栏的"微软文件校验"会显示Pass(已经通过签名验证)与nopass(不能通过签名验证)。(可以据此参考微软文件是否被修改或被替换,注意的是如果紫红色显示过多,可能是你的系统是网上常见的Ghost美化版,这些版本为了美化而大量修改了系统文件。对于受系统保护的文件的任何修改,都将使该文件无法通过签名验证。还有极个别的系统文件,由于与缺少安全编录而无法通过签名验证,多见于SP3下。以上所说的情况同时也会发生在本文提到的其他相关软件上,需要特别注意!)yotwmaelg
yotwmaelg
禁止进程与文件创建:yotwmaelg
针对木马的反复启动,反复创建文件,反复写注册表启动项进行监视或阻止,使用本功能后能更清松地删除木马文件及注册表启动项。yotwmaelg
yotwmaelg
开启禁止“禁止进程与文件创建”后会自动添加“监控日志”页,取消后该页消失。可以观察一下日志情况以便从所阻止的动作中找到比较隐藏的木马文件。注意的是,如果木马插入系统进程,则反映的日志是阻止系统进程的动作,你需要自我分辨该动作是否有害并分析该进程的模块文件。如果在日志页观察到反复写创建文件,反复写注册表,反复创建的进程。当此进程是非系统进程时可以直接关闭并删除它。如果是系统进程,需要手动分析一下该进程的模块(配合查看一下活动页的加载项有助于快速找到木马插入系统进程的模块)。清理文件注册表完成后不要退出“禁止进程与文件创建”,而应直接使用工具下的“重启计算机”,以确保我们的清理成功。yotwmaelg
yotwmaelg
要保留日志请在取消前Ctrl+A全选后复制。注意,为防止日志过多,满1000条后自动删除前400条日志。yotwmaelg
yotwmaelg
二、菜单-工具:yotwmaelg
yotwmaelg
清除临时文件:删除%TEMP%,%windir%\Temp及%windir%\DownloadedProgram Files下的所有文件。yotwmaelg
yotwmaelg
清除Autorun.inf:程序分析各盘根目录下的Autorun.inf指向的文件,删除各盘的Autorun.inf及其指向的文件。清除以Autorun.inf方式启动的木马,(可配合“禁止进程与文件创建”使用以取得最好的效果)。如果手动清理,操作中尽量使用Wsyscheck内置的文件管理操作以防双击盘符再次激活木马。在手动删除Autorun.inf文件前用Wsyscheck的文件管理中打开这个文件查看木马启动的具体位置有利于您快速找到木马文件。清理时完后检查一下各盘根目录以保证完全清理了Autorun.inf文件。yotwmaelg
yotwmaelg
修复隐藏文件显示及禁用硬盘自动播放:菜单栏太长写不完,本功能还包括磁盘无法双击打开故障。注意,某些故障修复后可能需要注销或重启才能生效。yotwmaelg
yotwmaelg
修复安全模式:某些木马会破坏安全模式的键值导致无法进入安全模式,本功能先备份当前安全模式键值再恢复默认的安全模式键值。yotwmaelg
yotwmaelg
构建安全环境:还原SSDT(某些杀软还原SSDT会引起死机,本功能仅测试在Kv系列,Kav6.0下使用没有问题,其它版本请自行测试。如不确定,使用本功能前最好退出杀软进程。),只保留系统必须的几个进程,然后执行上述三个子菜单功能。(在下面的实际操作中,将详细介绍关于SSDT。)yotwmaelg
yotwmaelg
重启计算机:开启禁止“禁止进程与文件创建”后,清理病毒文件,修复注册表完毕,在wsyscheck的监控下重启电脑。yotwmaelg
yotwmaelg
yotwmaelg
yotwmaelg
三、进程管理:清除病毒木马的第一步yotwmaelg
yotwmaelg
红色表示非微软进程,紫红色表示虽然进程是微软进程,但其模块中有非微软的模块文件。yotwmaelg
yotwmaelg
定位文件:使用wsyscheck的文件管理器,锁定目标进程文件。可以快速查看文件的位置和基本信息,可以锁定一切存在的文件。注意,定位没有隐藏属性的文件时,不要选wsyscheck的文件管理器的“仅显示隐藏文件”选项。yotwmaelg
yotwmaelg
拷贝文件路径:拷贝文件的完整路径,配合其他删除工具使用。如菜刀(费尔)、XDELBOX等。yotwmaelg
yotwmaelg
结束这个进程:可以直接结束单个进程。yotwmaelg
yotwmaelg
结束选择的进程:在要结束进程的前面复选,然后同时批量结束所选进程。yotwmaelg
yotwmaelg
禁止这个程序运行:这个功能就是流行的IFEO劫持功能,我们可以使用它来阻止病毒进程的重新加载。此操作的结果参看安全检查-常规检查页的“禁用程序管理”,如果结束木马进程后反复发现木马启动,可以尝试使用“结束进程并删除文件”或“禁止这个程序运行”,让其不再启动后删除。 还可以配合使用“禁止进程与文件创建”让其不再创建新进程、创建文件无效而清理它。yotwmaelg
yotwmaelg
关于进程文件下半部的窗口,显示的是相关进程所加载的模块列表。这里特别注意查看explorer.exe和iexplore.exe两个进程所注入的非系统模块,木马病毒模块一般不会放过这两个关键进程。右键点击模块列表中的相应文件,可以进行相关的卸载、删除、改名等操作。yotwmaelg
yotwmaelg
特别说明1:在“文件厂商”中显示MicrosoftCorporation,则一般表明该文件为微软文件,通常为系统文件。yotwmaelg
yotwmaelg
特别说明2:关于模块卸载yotwmaelg
对HOOK了系统关键进程的模块卸载可能导致系统重启,所以卸载不了的模块不要强求卸载,可以先删除该模块的启动项或文件。yotwmaelg
一般顺序是,先选择“卸载模块并删除文件”(该功能需要特别注意,必须先确认文件非系统文件)或“卸载模块”,如不成功,则检查其他进程下是否也加载了该模块,如果加载,则使用“全局卸载模块”。在卸载完成以后,到文件所在目录下找到并删除。如不能正常执行“全局卸载模块”,则应先完成后面的检查,再回头处理。yotwmaelg
yotwmaelg
yotwmaelg
yotwmaelg
四、内核检查yotwmaelg
yotwmaelg
SSDT检查:这里显示杀软和木马病毒的内核驱动保护。yotwmaelg
yotwmaelg
如果SSDT管理中有木马模块在工作,请先恢复SSDT,再在服务管理页清理木马的服务及文件。否则会失败。yotwmaelg
SSDT右键“全部显示”是默认动作,当取消这个选项后,则仅显示SSDT表中已更改的项目。yotwmaelg
红色表示内核被HOOK的函数。查看第三方模块,可以点击两次标签“映像路径”排序,则第三方HOOK的模块会排在一起列在最前面。也可以取消“全部显示”,则仅显示入口改变了的函数。yotwmaelg
SSDT页的“代码异常”栏如显示“YES”,表明该函数被InlineHook(被改写,或叫挂钩)。如果一个函数同时存在代码HOOK与地址HOOK,则对应的模块路径显示的是InlineHook的路径,而使用“恢复当前函数代码”功能只恢复InlineHook,路径将显示为地址HOOK的模块路径,再使用“恢复当前函数地址”功能就恢复到默认的函数了。yotwmaelg
使用“恢复所有函数”功能则同时恢复上述两种HOOK。yotwmaelg
说明:yotwmaelg
如果在SSDT表中有杀软挂钩,则尽量不要更改杀软的函数代码和地址,以免需要重装杀软。yotwmaelg
yotwmaelg
yotwmaelg
SSDT的全称是System Services DescriptorTable,系统服务描述符表。这个表就是一个把ring3(应用层)的Win32API和ring0(内核层)的内核API联系起来的角色。对于一个干净的SSDT表来说,它里边的表项应该都是指向ntoskrnl.exe的;当程序的处理流程进入ring0之后,系统会根据服务号(eax)在SSDT这个系统服务描述符表中查找对应的表项,这个找到的表项就是系统服务某函数的真正地址。之后,系统会根据这个地址调用相应的系统服务函数,并把结果返回给ntdll.dll中。SSDT所示即为系统服务描述符表的各个表项;ntoskrnl.exe则为Windows系统内核服务进程(ntoskrnl即为NTOSKerneL的缩写),它提供了相对应的各个系统服务函数。ntoskrnl.exe这个文件位于Windows的system32目录下。根据你处理器的不同,系统内核服务进程可能也是不一样的。真正运行于系统上的内核服务进程可能还有ntkrnlmp.exe、ntkrnlpa.exe这样的情况。yotwmaelg
|
yotwmaelg
什么,你的机器不是被Inline-HOOK Nt*?而是Inline-HOOKCm*啦,换 狙剑软件!不会用?那就直接“自启动项管理”。用狙剑的自启动项管理对自启动项进行操作,则无须手动检查与恢复HOOK,狙剑在扫描与清除自启动项时,会自动恢复相关的HOOK(有些HOOK有防恢复机制,也很难用手工来恢复,所以也就没必要非手工恢复它,交给狙剑工具去做就可以了)。yotwmaelg
yotwmaelg
yotwmaelg
FSD检查:这里显示木马病毒的文件保护。yotwmaelg
yotwmaelg
FSD(文件系统驱动),文件格式有特定的程序来识别并读取使用,而文件系统格式则由特定的驱动来识别并读取使用。yotwmaelg
CDFS格式:Cdfs.sysyotwmaelg
UDFS格式:Udfs.sysyotwmaelg
FAT格式:Fastfat.sysyotwmaelg
NTFS格式:Ntfs.sysyotwmaelg
这里我们再讲一个概念“文件过滤系统驱动”,听名字应该也能想出大概了吧?是的,这是一个文件过滤系统,附在文件系统上,像个筛子一样对传入文件系统驱动的信息进行过滤。文件过滤系统在现实中应用非常广泛,几乎所有的杀毒软件都会用到,而系统本身的系统还原也是应用的文件过滤系统,还有些硬盘还原之类的程序也在使用文件过滤驱动。yotwmaelg
|
yotwmaelg
yotwmaelg
yotwmaelg
yotwmaelg
五、服务管理:yotwmaelg
yotwmaelg
红色表示该服务不是微软服务,且该服务非.sys驱动。(最常见的是.exe与.dll的服务,木马大多使用这种方式)。yotwmaelg
有些木马利用服务启动,请注意一下并判断一下服务页中的红色显示程序。如果状态是“已停止”,而类型是“自动”,则它已运行过一次,所以有可能启动了别的木马程序。yotwmaelg
yotwmaelg
查看第三方服务可以点击标题条“文件厂商”排序,结合使用“启动类型”、“修改日期”排序更容易观察到新增的木马服务。yotwmaelg
检查键值保护:使用后,蓝色显示的是有键值保护的随系统启动的驱动程序。它们有可能是杀软的自我保护,也有可能是木马的键值保护。yotwmaelg
yotwmaelg
对于检测出的启动项,如果不是十分肯定,可以右键“设为禁用”,让其下次不启动再观察系统是否正常以判断它是否是一个木马程序。不要直接删除服务或文件,删错了很麻烦的。yotwmaelg
yotwmaelg
删除选中的服务与文件:在删除文件的同时删除注册表加载项。yotwmaelg
yotwmaelg
yotwmaelg
yotwmaelg
六、安全检查-常规检查:yotwmaelg
yotwmaelg
host查看:检查hosts文件是否被恶意修改,一些病毒通过修改hosts文件,来阻止中毒者打开相关的杀毒网站和病毒升级服务器,还屏蔽一些常见的求助网站。yotwmaelg
yotwmaelg
yotwmaelg
标准滴HOST:yotwmaelg
# Copyright (c) 1993-1999 MicrosoftCorp.yotwmaelg
#yotwmaelg
# This is a sample HOSTS file used by Microsoft TCP/IP forWindows.yotwmaelg
#yotwmaelg
# This file contains the mappings of IP addresses to host names.Eachyotwmaelg
# entry should be kept on an individual line. The IP addressshouldyotwmaelg
# be placed in the first column followed by the corresponding hostname.yotwmaelg
# The IP address and the host name should be separated by at leastoneyotwmaelg
# space.yotwmaelg
#yotwmaelg
# Additionally, comments (such as these) may be inserted onindividualyotwmaelg
# lines or following the machine name denoted by a '#'symbol.yotwmaelg
#yotwmaelg
# For example:yotwmaelg
#yotwmaelg
127.0.0.1 localhostyotwmaelg
|
yotwmaelg
yotwmaelg
说明:360等一些软件也会通过修改host来防挂进行保护。千万别把他们灭了哦yotwmaelg
yotwmaelg
“禁用程序管理”:目前利用IFEO禁用杀软、启动木马程序是比较流行的。在木马使用IFEO劫持一些杀软后,可以在“禁用程序管理”中恢复被劫持的程序。这个功能就是流行的IFEO劫持功能,当然,我们可以使用它来阻止病毒进程的重新加载。yotwmaelg
yotwmaelg
注册表键值改动检测:检查和修复文件关联。yotwmaelg
yotwmaelg
yotwmaelg
yotwmaelg
七、安全检查-活动文件:yotwmaelg
yotwmaelg
红色显示的常规启动项的内容。即开机加载项。病毒木马一般在这里藏匿。yotwmaelg
黑色部分内容大多是右键菜单或浏览器等窗口菜单调用的项目,多是一些插件之类的东东。也是病毒木马的藏身之处,要仔细认真的一个一个鉴别。yotwmaelg
对于检测出的启动项,如果不是十分肯定,可以定位注册表项,将这个启动程序的路径前加上“;”等字符让其下次不启动再观察系统是否正常以判断它是否是一个木马程序。yotwmaelg
注意:这里的修复所选项-这个操作是删除当前选定的启动或加载项。安全检查中各个选项卡里若有此功能,均是此含义。yotwmaelg
这个页面没有直接删除选定的文件功能,不是很方便。可以使用“定位文件”,然后改名或删除。yotwmaelg
yotwmaelg
yotwmaelg
八、安全检查-IE 安全:yotwmaelg
这里是ie浏览器里加载的一些插件。怀疑的就删除(即右键的修复所选项),不会影响系统运行。yotwmaelg
yotwmaelg
yotwmaelg
九、安全检查-重启删除文件:yotwmaelg
驱动加载的情况下,大多数文件都可以立即删除,加载的DLL文件删除后虽然文件仍然可见,但事实上已删除,重启可观察到文件已消失。yotwmaelg
yotwmaelg
“重启删除”仅作为驱动无法加载情况下使用的一种辅助手段,“重启删除”与“Dos删除”可以同时使用。其列表都可以手动编辑,一行一个文件路径即可。关闭程序时如果上述两者之一存在删除列表,会问询是否执行。yotwmaelg
如果需要对删除的文件备份,先启用软件设置下的“删除文件前备份文件”,它将在删除前将文件备份到%systemDrive%\VirusBackup目录中,且将文件名添加.vir后缀以免误执行。yotwmaelg
yotwmaelg
yotwmaelg
说明:dos删除功能yotwmaelg
对于用以上功能仍删除不了的文件,可以使用Wsyscheck的或“dos删除功能”,使用“dos删除”功能后会在启动菜单中添加一项“删除顽固文件”,执行后自动清理文件并去掉它所添加的启动项。本功能需要将辅件Wdosdel.dat与Wsyscheck放在一起才会显示相关页面。“dos删除”在多系统情况下可能存在一些问题,请慎用。建议在万不得已必须使用dos删除功能之前,备份重要资料。yotwmaelg
yotwmaelg
yotwmaelg
yotwmaelg
十、文件管理:yotwmaelg
文件管理页的“删除”操作是删除文件到回收站,支持畸形目录下的文件删除。yotwmaelg
应注意的是如果文件本身在回收站内,请使“用直接删除文件”功能。或者使用剪切功能将它复制到另一个地方。否则你可能看到回收站内的文件删除了这个又添加了那个(因为右键“删除”是删除到回收站)。yotwmaelg
文件搜索中利用“限制时间”条件来搜索近期产生的文件可能有助于您的清理工作。yotwmaelg
选上文件列表下面的“仅显示隐藏文件”,可以更快速的锁定system32等目录下的隐藏了的病毒文件。yotwmaelg
yotwmaelg
yotwmaelg
什么是畸形文件或目录呢?我们在这里做个实验。。yotwmaelg
在命令提示符下输入mdD:\30194447..\yotwmaelg
这个时候,就会在D盘创建一个名为“30194447.”的文件夹。然后我们从资源管理器对这个文件夹进行各种操作看看,打开、删除、重命名、剪切、复制……这样的文件夹就属于畸形的一种。yotwmaelg
如果要删除,可以在cmd下运行rdD:\30194447..\yotwmaelg
想在里面进行操作,就在运行里输入“D:\30194447..\”来打开。yotwmaelg
如果弄不明白这些东西,可以使用该软件,对他执行“删除”!yotwmaelg
|
yotwmaelg
yotwmaelg
yotwmaelg
十一、注册表管理:yotwmaelg
wsyscheck的强大之处在于,这个注册表管理功能一般的时候根本用不到。yotwmaelg
但还是简单介绍一下。这个注册表管理功能,比系统自带的regedit要强大,可以看到regedit看不到的隐藏键,可以删除regedit删除不掉的键。类似于冰刃的注册表管理功能。yotwmaelg
yotwmaelg
[ 本帖最后由 depressedboy 于 2008-7-21 21:58 编辑 ]yotwmaelg
yotwmaelg
任务管理器 (相关软件下载)yotwmaelg
yotwmaelg
yotwmaelg
㈡、任务管理器 yotwmaelg 在这个软件上,可以看到不同进程上所加载的模块及服务、所开的TCP/IP、线程和堆栈。这个软件的正式名称叫做ProcessExplorer(进程管理器)。上面提供的是 Process Explorer v10.06汉化版本下载地址,也可以到网上搜索更新的版本。yotwmaelg
Process Explorer 11.20 汉化版yotwmaelg
1。来自华军滴:http://www.onlinedown.net/soft/31805.htmyotwmaelg
2。来自霏凡滴:http://www.crsky.com/soft/1074.htmlyotwmaelg
3。来自太平洋滴:http://dl.pconline.com.cn/html_2/1/59/id=6395&pn=0.htmlyotwmaelg
yotwmaelg
下图为该软件的运行界面:yotwmaelg
 yotwmaelg
yotwmaelg
对于系统进程,大家往往都感到陌生,而且不敢轻举妄动。事实上,只要我们对系统进程有所了解,那么你就不会再有这种恐惧感了,这里为大家介绍一个系统进程管理的好帮手——ProcessExplorer。yotwmaelg
yotwmaelg
Process Explorer 是 Sysinternals 公司出品的一款出色进程监视工具。Process Explorer是一款免费的增强型任务管理器,是最好的进程管理器。使用它不但能非常方便地查看各种系统进程,而且还能查看到通常我们看不到的在后台执行的处理程序,其最大的特色就是可以终止任何进程,甚至包括系统的关键进程!如此优秀的软件,相信它一定能够帮助我们更好的管理好程序进程。下面我们就来体验一下其强大的进程管理功能和其他特性。yotwmaelg
yotwmaelg
一、菜单yotwmaelg
yotwmaelg
㈠、文件yotwmaelg
1,运行:yotwmaelg
2,运行为:yotwmaelg
3,作为限制用户:yotwmaelg
4,保存:yotwmaelg
5,另存为:yotwmaelg
6,关机:yotwmaelg
7,退出:yotwmaelg
yotwmaelg
㈡、选项yotwmaelg
1,总在最前面:yotwmaelg
2,替换任务管理器:yotwmaelg
3,最小化时隐藏:yotwmaelg
4,仅允许一个实例:yotwmaelg
5,确认终止:yotwmaelg
6,CPU 使用记录在托盘图标:yotwmaelg
7,验证映像签名:yotwmaelg
8,搜索引擎:yotwmaelg
9,配置符号:yotwmaelg
10,配置高亮:yotwmaelg
11,差异高亮持续时间:yotwmaelg
12,字体:yotwmaelg
yotwmaelg
㈢、查看yotwmaelg
1,系统信息:yotwmaelg
2,显示进程树:yotwmaelg
3,显示来自所有用户的进程:yotwmaelg
4,显示部分 CPU:yotwmaelg
5,显示新的进程:yotwmaelg
6,显示未命名的句柄和映射:yotwmaelg
7,不透明:yotwmaelg
8,显示下级窗格:yotwmaelg
9,下级窗格视图:yotwmaelg
10,立即刷新:yotwmaelg
11,更新速度:yotwmaelg
12,整理列设置:yotwmaelg
13,保存列设置:yotwmaelg
14,载入列设置:yotwmaelg
15,选择列:yotwmaelg
yotwmaelg
㈣、进程yotwmaelg
1,窗口:yotwmaelg
2,设置优先级:yotwmaelg
3,终止进程:yotwmaelg
4,终止进程树:yotwmaelg
5,重启:yotwmaelg
6,暂停:yotwmaelg
7,调试:yotwmaelg
8,属性:yotwmaelg
9,Google:yotwmaelg
yotwmaelg
㈤、查找yotwmaelg
查找句柄或DLL:yotwmaelg
yotwmaelg
㈥、句柄yotwmaelg
1,关闭句柄:yotwmaelg
2,属性:yotwmaelg
yotwmaelg
㈦、用户yotwmaelg
1,断开:yotwmaelg
2,注销:yotwmaelg
3,发送消息:yotwmaelg
4,属性:yotwmaelg
yotwmaelg
㈧、帮助yotwmaelg
1,内容:yotwmaelg
2,关于:yotwmaelg
yotwmaelg
yotwmaelg
yotwmaelg
yotwmaelg
yotwmaelg
yotwmaelg
㈣、SREngyotwmaelg yotwmaelg
yotwmaelg
SREng 2.5.16.900 版本 yotwmaelg
yotwmaelg yotwmaelg 未完。。。yotwmaelg
yotwmaelg
手工查杀木马病毒③—1yotwmaelg
启动项目查看 (相关软件下载)yotwmaelg
yotwmaelg
二、启动项查看yotwmaelg yotwmaelg
这个软件的正式名称叫做AutoRuns,上面提供的下载地址为v8.51汉化版,最新版本为v9.30英文版。yotwmaelg
yotwmaelg
下载页面:http://www.onlinedown.net/soft/21271.htmyotwmaelg
yotwmaelg
软件运行后的界面:yotwmaelg
yotwmaelg
 yotwmaelg
yotwmaelg
在v9.30英文版本中,里面会有4个文件yotwmaelg
autoruns.chm 帮助文件yotwmaelg
autoruns.exe 在Windows下运行的界面程序(本文讲解得重点)yotwmaelg
autorunsc.exe 在Dos模式下可运行的控制端程序(非本文讲解重点)yotwmaelg
Eula.txt 用户许可协议yotwmaelg
yotwmaelg
因为Autoruns是一款国外的软件,所以当你第一次进入Autoruns英文版本主界面后会感觉他的字显示的比较小,因此我们在正式使用软件前首先需要设置Autoruns的字体。每一次打开软件或刷新“文件列表”时,Autoruns都会先对系统进行一番扫描,这时是无法设置字体的。见软件的左下角有文字提示“扫描中……(Escapeto cancelScanning…)”,按键盘左上角的ESC键取消扫描)。按下键盘右上角“ESC”键后,软件将会停止扫描。扫描结束后软件左下角的提示文字为“就绪(Ready)”。汉化新世纪提供的汉化版不存在这个问题。yotwmaelg
yotwmaelg
一、菜单-操作(Entry)(实际上也是右键菜单)yotwmaelg
删除(Delete):直接删除被选中的启动项。(说明:如果不能确认,请先将启动前的勾取消。)yotwmaelg
yotwmaelg
复制(Copy):复制选中的内容。yotwmaelg
yotwmaelg
校验(Verify):对被选中的启动项程序进行签名校验。如果通过,则在发行商中显示“(已校验)”。不能通过,则显示“(未校验)”。yotwmaelg
注册表(Jumpto):直接打开注册表编辑器(Regedit.exe)程序,并定位在该启动项所在注册表的位置。yotwmaelg
yotwmaelg
google查找(Searchonline):在google中搜索内容yotwmaelg
yotwmaelg
进程管理器(ProcessExplorer):需要安装有第2节(即上一节)中提到的任务管理器。yotwmaelg
yotwmaelg
属性(Properties):直接显示该启动项程序的文件属性。通过对文件的版本时间等信息做进一步的判断。yotwmaelg
yotwmaelg
yotwmaelg
二、菜单-选项(Options)软件设置yotwmaelg
yotwmaelg
包含空白启动位置(Include EmptyLocations):(默认关闭,)为了方便查找,该选项不图鉴勾选。yotwmaelg
yotwmaelg
校验码签名(Verify Code Signatures):在使用“选项”-“校验码签名”后,刷新或重新打开autoruns,都会对每个启动项程序校验其签名。如果通过,则在发行商中显示“(已校验)”。不能通过,则显示“(未校验)”。(可以据此参考微软文件是否被修改或被替换,注意的是如果“(未校验)”显示过多,可能是你的系统是网上常见的Ghost美化版,这些版本为了美化而大量修改了系统文件。对于受系统保护的文件的任何修改,都将使该文件无法通过签名验证。还有极个别的系统文件,由于缺少安全编录而无法通过签名验证,多见于SP3下。以上所说的情况同时也会发生在本文提到的其他相关软件上,需要特别注意!)yotwmaelg
yotwmaelg
隐藏系统进程(Hide MicrosoftEntries):(默认关闭),简洁显示会过滤掉微软文件不显示,方便查找病毒进程、文件和模块。yotwmaelg
yotwmaelg
字体(Font):设置显示字体yotwmaelg
yotwmaelg
搜索引擎:在 google 和MSN 里查找yotwmaelg
yotwmaelg
yotwmaelg
yotwmaelg
三、启动项选项卡yotwmaelg
yotwmaelg
㈠、全部启动项(Everything):yotwmaelg
包含以下各选项卡所有启动项内容。这里就不多说了,看下面yotwmaelg
yotwmaelg
㈡、登陆(Logon):yotwmaelg
这里显示的是常规的启动项位置,即运行Msconfig.exe后,在“启动”中看到的。但在Msconfig里隐藏了三个系统关键启动项,rdpclip(RDPClip Monitor MicrosoftCorporation)C:\windows\system32\rdpclip.exe ,userinit(UserinitLogon Application MicrosoftCorporation)C:\windows\system32\userinit.exe ,Explorer(WindowsExplorer MicrosoftCorporation)C:\windows\explorer.exe 。如无特殊情况,请不要对这3个启动项进行任何修改!yotwmaelg
yotwmaelg
- 进程文件:rdpclip 或者rdpclip.exe
- 进程名称:FileCopy
- 描述:rdpclip.exe用于文件复制。它用于从服务器到本地拷贝粘贴文件。这个程序对你系统的正常运行是非常重要的。
- 出品者: Microsoft
- 属于: Windows
yotwmaelg
- 进程文件:userinit 或者userinit.exe
- 进程名称:UserInit Process
- 描述:Userinit.exe是Windows操作系统一个关键进程。用于管理不同的启动顺序,例如在建立网络链接和Windows壳的启动。
- 出品者: Microsoft Corp
- 属于: Windows
yotwmaelg
- 进程文件:explorer 或者explorer.exe
- 进程名称:Microsoft WindowsExplorer
- 描述:explorer.exe是Windows程序管理器或者Windows资源管理器,它用于管理Windows图形壳,包括开始菜单、任务栏、桌面和文件管理。删除该程序会导致Windows图形界面无法适用。
- 出品者: Microsoft Corp.
- 属于: Microsoft Windows OperatingSystem
yotwmaelg
包含的启动路径:yotwmaelg
HKLM\System\CurrentControlSet\Control\TerminalServer\Wds\rdpwd\StartupPrograms yotwmaelg
HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\AppSetup yotwmaelg
HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Startup yotwmaelg
HKCU\Software\Policies\Microsoft\Windows\System\Scripts\Logon yotwmaelg
HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Logon yotwmaelg
HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit yotwmaelg
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell yotwmaelg
HKCU\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Shell yotwmaelg
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell yotwmaelg
HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Shell yotwmaelg
HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Taskman yotwmaelg
HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\Runonce yotwmaelg
HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\RunonceEx HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\Run yotwmaelg
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run yotwmaelg
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx yotwmaelg
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce yotwmaelg
HKCU\Software\Microsoft\WindowsNT\CurrentVersion\Windows\Load yotwmaelg
HKCU\Software\Microsoft\WindowsNT\CurrentVersion\Windows\Run yotwmaelg
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run yotwmaelg
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run yotwmaelg
HKCU\Software\Microsoft\Windows\CurrentVersion\Run yotwmaelg
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce yotwmaelg
HKCU\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\Runonce yotwmaelg
HKCU\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\RunonceEx HKCU\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\TerminalServer\Install\Software\Microsoft\Windows\CurrentVersion\Run yotwmaelg
HKCU\Software\Policies\Microsoft\Windows\System\Scripts\Logoff yotwmaelg
HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Shutdown yotwmaelg
C:\Documents and Settings\AllUsers\「开始」菜单\程序\启动 yotwmaelg
C:\Documents andSettings\“当前用户帐户”\「开始」菜单\程序\启动 yotwmaelg
|
yotwmaelg
yotwmaelg
㈢、外壳程序(Explorer):yotwmaelg
里显示的是加载在 Explorer 外壳程序上的所有dll模块文件。yotwmaelg
yotwmaelg
yotwmaelg
包含的启动路径:yotwmaelg
HKLM\SOFTWARE\Classes\Protocols\Filter yotwmaelg
HKLM\SOFTWARE\Classes\Protocols\Handler yotwmaelg
HKCU\SOFTWARE\Microsoft\InternetExplorer\Desktop\Components yotwmaelg
HKLM\SOFTWARE\Microsoft\ActiveSetup\InstalledComponents yotwmaelg
HKCU\SOFTWARE\Microsoft\ActiveSetup\InstalledComponents yotwmaelg
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler yotwmaelg
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad yotwmaelg
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad yotwmaelg
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks yotwmaelg
HKCU\Software\Classes\*\ShellEx\ContextMenuHandlers yotwmaelg
HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers yotwmaelg
HKCU\Software\Classes\AllFileSystemObjects\ShellEx\ContextMenuHandlers yotwmaelg
HKLM\Software\Classes\AllFileSystemObjects\ShellEx\ContextMenuHandlers yotwmaelg
HKCU\Software\Classes\Directory\ShellEx\ContextMenuHandlers yotwmaelg
HKLM\Software\Classes\Directory\ShellEx\ContextMenuHandlers yotwmaelg
HKCU\Software\Classes\Directory\Shellex\DragDropHandlers yotwmaelg
HKLM\Software\Classes\Directory\Shellex\DragDropHandlers yotwmaelg
HKCU\Software\Classes\Directory\Shellex\PropertySheetHandlers yotwmaelg
HKLM\Software\Classes\Directory\Shellex\PropertySheetHandlers yotwmaelg
HKCU\Software\Classes\Directory\Shellex\CopyHookHandlers yotwmaelg
HKLM\Software\Classes\Directory\Shellex\CopyHookHandlers yotwmaelg
HKCU\Software\Classes\Folder\Shellex\ColumnHandlers yotwmaelg
HKLM\Software\Classes\Folder\Shellex\ColumnHandlers yotwmaelg
HKCU\Software\Classes\Folder\ShellEx\ContextMenuHandlers yotwmaelg
HKLM\Software\Classes\Folder\ShellEx\ContextMenuHandlers yotwmaelg
HKCU\Software\Classes\Directory\Background\ShellEx\ContextMenuHandlers yotwmaelg
HKLM\Software\Classes\Directory\Background\ShellEx\ContextMenuHandlers yotwmaelg
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers yotwmaelg
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers yotwmaelg
HKCU\Software\Microsoft\Ctf\LangBarAddin yotwmaelg
HKLM\Software\Microsoft\Ctf\LangBarAddin yotwmaelg
HKLM\Software\Microsoft\Windows\CurrentVersion\ShellExtensions\Approved yotwmaelg
HKCU\Software\Microsoft\Windows\CurrentVersion\ShellExtensions\Approved yotwmaelg
|
yotwmaelg
yotwmaelg
㈣、IE 浏览器(Internet Explorer):yotwmaelg
这里显示的是 Internet Explorer上加载的第三方dll模块。yotwmaelg
yotwmaelg
yotwmaelg
包含的启动路径:yotwmaelg
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\BrowserHelperObjects yotwmaelg
HKCU\Software\Microsoft\InternetExplorer\UrlSearchHooks yotwmaelg
HKLM\Software\Microsoft\InternetExplorer\Toolbar yotwmaelg
HKCU\Software\Microsoft\InternetExplorer\ExplorerBars yotwmaelg
HKLM\Software\Microsoft\InternetExplorer\ExplorerBars yotwmaelg
HKCU\Software\Microsoft\InternetExplorer\Extensions yotwmaelg
HKLM\Software\Microsoft\InternetExplorer\Extensions yotwmaelg
|
yotwmaelg
yotwmaelg
㈤、计划任务(Scheduled Tasks):yotwmaelg
计划任务,就是系统中的任务计划。该程序依赖于服务TaskScheduler。yotwmaelg
任务计划概述:利用“任务计划”,可以将任何脚本、程序或文档安排在某个最方便的时间运行。“任务计划”在每次启动 WindowsXP 的时候启动并在后台运行。yotwmaelg
使用“任务计划”可以完成以下任务:yotwmaelg
- 计划让任务在每天、每星期、每月或某些时刻(例如系统启动时)运行。
- 更改任务的计划。
- 停止计划的任务。
- 自定义任务在计划时刻的运行方式。
yotwmaelg
包含的启动路径:yotwmaelg
C:\WINDOWS\Tasksyotwmaelg
|
yotwmaelg
yotwmaelg
㈥、服务(Services):yotwmaelg
yotwmaelg
服务概述:yotwmaelg
yotwmaelg
服务是一种在后台运行的应用程序类型,它与 UNIX后台应用程序类似。服务应用程序通常可以在本地和通过网络为用户提供一些功能,例如客户端/服务器应用程序、Web服务器、数据库服务器以及其他基于服务器的应用程序。yotwmaelg
yotwmaelg
使用服务可以:yotwmaelg
1,启动、停止、暂停、恢复或禁用远程和本地计算机上的服务。要启动、停止、暂停、重新启动或禁用服务,必须拥有适当的权限。yotwmaelg
2,管理本地和远程计算机(只在运行 Windows XP、Windows 2000 或 Windows NT 4.0的远程计算机)上的服务。yotwmaelg
3,设置服务失败时的故障恢复操作,例如,重新自动启动服务或重新启动计算机(仅在运行 Windows XP 或 Windows 2000的计算机上)。yotwmaelg
4,为特定的硬件配置文件启用或禁用服务。yotwmaelg
5,查看每个服务的状态和描述。yotwmaelg
yotwmaelg
有关系统的服务默认设置情况,请运行 Services,依次选择“帮助”-“帮助主题”-“服务”-“概念”-“服务的默认设置”。yotwmaelg
yotwmaelg
包含的启动路径:yotwmaelg
HKLM\System\CurrentControlSet\Services yotwmaelg
|
yotwmaelg
yotwmaelg
yotwmaelg
yotwmaelg
㈦、驱动(Driers):yotwmaelg
yotwmaelg
设备驱动程序(devicedriver),简称驱动程序(driver),是一个允许电脑软件(computersoftware)与硬件(hardware)互动的程序,这种程序建立了一个硬件与硬件,或硬件与软件沟通的接口,经由主板上的总线(bus)或其它沟通子系统(subsystem)与硬件形成连接的机制,这样的机制使得硬件装置(device)上的资料交换成为可能。yotwmaelg
依据不同的电脑架构与操作系统差异平台,驱动程序可以是8位元(8-bit)、16位元(16-bit)、32位元(32-bit),甚至是最新的64位元(64-bit),这是为了调和操作系统与驱动程序之间的依存关系,例如在Windows3.11的16位元操作系统时代,大部份的驱动程序都是16位元,到了32位元的Windows XP则大部份是使用32位元驱动程序(微软提供了Windows DriverModel可视作driver),至于64位元的Linux或是WindowsVista平台上,就必须使用64位元的驱动程序(WDM与WDF皆可视作64位元驱动程序)。yotwmaelg
yotwmaelg
yotwmaelg
包含的启动路径:yotwmaelg
HKLM\System\CurrentControlSet\Services yotwmaelg
|
yotwmaelg
yotwmaelg
[ 本帖最后由 depressedboy 于 2008-7-21 22:04 编辑 ]yotwmaelg
yotwmaelg
手工查杀木马病毒③—2yotwmaelg
㈧、导入并执行(BootExecute):yotwmaelg
这里显示的是自动检查程序 autochk及其相关的启动。yotwmaelg
yotwmaelg
附:关于 Windows 中增强型 Chkdsk、Autochk和 Chkntfs 工具的说明yotwmaelg
yotwmaelg
概要:yotwmaelg
在 Windows 2000及其以后的系统中,Chkdsk.exe、Autochk.exe 和 Chkntfs.exe工具的功能得到了增强,管理员可以更精确地控制何时对卷执行文件系统检查。yotwmaelg
yotwmaelg
请注意,卷被定义为包含文件系统的分区,该分区可以用驱动器号/卷装入点或全局唯一标识符 (GUID)进行寻址。 yotwmaelg
yotwmaelg
Autochk.exe先确定卷检查任务是手动安排的,还是由于文件系统发现卷处于“脏”状态而自动安排的,然后将相应的消息写入应用程序事件日志中。yotwmaelg
yotwmaelg
下面是包含的增强功能列表,但没有列出每种工具可使用的全部开关。yotwmaelg
yotwmaelg
Chkdsk /F:如果 Chkdsk在执行该命令时不能锁定卷,就会显示下面的对话框,然后提示您安排在系统下次重新启动时执行该命令:yotwmaelg
yotwmaelg
由于该卷正在被另一个进程使用,Chkdsk不能运行。如果先卸下该卷,Chkdsk也许可以运行。该卷所有已打开的句柄将会无效。要强制卸下该卷吗?(Y/N)yotwmaelg
如果管理员安排该命令在系统下次重新启动时运行,则为了在系统下次启动时对卷进行检查,Chkdsk将不为正在使用的卷设置“脏位”。相反,它会设置一个注册表条目,通知 Autochk运行以检查该卷。只有在文件系统本身检测到问题时才会设置“脏位”。yotwmaelg
yotwmaelg
Chkdsk /X:这是一个新命令参数,它运行 Chkdsk/F,并强制卸下卷从而关闭非系统卷上的打开文件句柄,以便立即对卷进行检查。这样,不必重启动系统就能执行 Chkdsk并修复卷。yotwmaelg
yotwmaelg
Chkntfs volume:显示文件系统类型,文件系统脏位的状态,以及是否已手动安排系统在启动时运行 Chkdsk来检查卷等信息。yotwmaelg
yotwmaelg
Chkntfs /C:安排在系统启动时检查卷(如果先前没有运行 chkntfs /x检查该卷,就会执行该操作)。只有在发现卷处于“脏”状态时,Chkdsk 才会运行。yotwmaelg
yotwmaelg
Chkntfs /D:将计算机还原为默认设置,并删除 Chkdsk /F 或 Chkntfs /X调用的注册表设置。这意味着,在系统启动时检查所有驱动器,对于那些发现处于“脏”状态的驱动器,还将运行 Chkdsk进行检查。yotwmaelg
yotwmaelg
Chkntfs /T:time:将 Autochk超时值更改为指定的时间(以秒为单位)。如果未指定时间,则显示当前设置。(虽然可以用此命令将 Autochk.exe开始的倒计时时间设为零,但这样做将无法取消潜在时间消耗的自动文件检查。 )yotwmaelg
yotwmaelg
Chkntfs /X: 计算机启动时不检查指定卷,即使该卷标记为需要chkdsk。本命令不是累积性的,该命令会覆盖以前建立的任何驱动器排除项。yotwmaelg
yotwmaelg
修改 Autochk.exe 超时值:yotwmaelg
1. 启动注册表编辑器 (Regedit32.exe) 并找到以下子项:yotwmaelg
\HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SessionManageryotwmaelg
2. 添加以下信息:yotwmaelg
Value Name: AutoChkTimeOut Data Type: DWORD Value: The value inunits of seconds (for example, a value of 60 equals 1 minutyotwmaelg
autochk.exe 计数停机时间由以下注册表项:yotwmaelg
\HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SessionManager \AutoChkTimeOutyotwmaelg
如果未找到条目, 将使用下默认的 10 秒数。 如果它被设置为 0 秒, 将无法任何计数。 如果它被设置为超过 3 天(259,200 秒), 将会使用默认值。yotwmaelg
|
yotwmaelg
yotwmaelg
Autochk:查看每个卷上的脏位,并查找Chkdsk /F 和 Chkntfs /X 或 /C 所设置的注册表设置,以确定是检查卷还是跳过卷。yotwmaelg
yotwmaelg
注意:Chkdsk /F 或 Chkntfs /C(安排 Chkdsk 对某个卷进行检查)和 Chkntfs/X(将某个卷从要检查的卷中排除)命令相互重写。这使管理员可以完全控制在系统启动过程中是无条件还是有条件地运行 Chkdsk对给定的卷进行检查,或者根本不检查。所发出的最后一条命令将对相应的注册表条目进行设置/重设。yotwmaelg
yotwmaelg
如果您安排 Chkdsk 在系统启动时运行以检查某个卷,但在实际启动时您决定按任意键跳过 Autochk,则 Autochk将不会检查该卷并删除相应的注册表条目,以后 Autochk 也不会再检查该卷。yotwmaelg
yotwmaelg
当 Autochk 在系统启动时运行以检查某个卷时,它将其输出记录到一个名为 Bootex.log的文件中,该文件位于被检查的卷的根目录中。然后,Winlogon 服务将各个 Bootex.log文件的内容移到应用程序事件日志中。每个被检查的卷的事件日志消息按以下方式记录:yotwmaelg
yotwmaelg
事件 ID: 1001yotwmaelg
源:Winlogonyotwmaelg
说明:它包括文件系统类型、驱动器号或 GUID 及卷名称或序列号,可以帮助确定 Chkdsk 检查的是哪个卷。yotwmaelg
此外还包括,Chkdsk 是因为用户的安排而运行的呢,还是因为已设置了脏字位而运行的等信息。yotwmaelg
Autochk使用以下注册表条目确定在系统启动时将检查哪些卷:yotwmaelg
Hkey_local_machine\System\CurrentControlSet\Control\SessionManager\ BootExecute:REG_MULTI_SZ:autocheck autochk *yotwmaelg
yotwmaelg
注意:这是 Autochk的默认设置,也是使用 Chkntfs /d 安排系统启动时检查所有卷所得到的结果。yotwmaelg
yotwmaelg
在 BootExecute 中还可以找到其他条目:yotwmaelg
yotwmaelg
| 注册表值 | 功能 | | /P \??\Volume: | 安排无条件运行 Chkdsk 来检查卷。 | | /p \??\VOLUME{GUID} | 安排无条件运行 Chkdsk 来检查卷装入点。 | | /k:Volume * | 不让 Chkdsk 检查卷。 | | /m \??\Volume: | 让 Autochk 仅查找卷上的脏位。如果已设置了脏位,则运行Chkdsk。 |
yotwmaelg
yotwmaelg
| 示例命令 | 所产生的注册表条目 | | Chkdsk C:/F | Autocheck autochk /p \??\C: | | Chkdsk C:\mountpoint /F | Autocheck autochk /p\??\VOLUME{GUID} | | Chkntfs D:E:/X | Autocheck autochk /k /k:E * | | Chkntfs G:/C | Autocheck autochk /m \??\G: |
yotwmaelg
yotwmaelg
yotwmaelg
yotwmaelg
由于可通过设置或重设注册表设置来控制 Autochk,因此可以使用 Regini脚本以编程方式安排卷的修复时间。yotwmaelg
yotwmaelg
注意:对于在运行群集服务的服务器群集节点之间共享的卷,不允许在系统启动时运行 Autochk.exe来访问卷。当这些卷联机,或从一个节点移到另一节点时,群集服务会检查卷是否处于“脏”状态。如果是,则在卷联机前,就要运行 Chkdsk来检查卷。但不会检查 BootExecute 注册表值,所以不会考虑这些值。yotwmaelg
yotwmaelg
yotwmaelg
包含的启动路径:yotwmaelg
HKLM\System\CurrentControlSet\Control\SessionManager\BootExecute yotwmaelg
HKLM\System\CurrentControlSet\Control\SessionManager\SetupExecute yotwmaelg
HKLM\System\CurrentControlSet\Control\SessionManager\Execute yotwmaelg
|
yotwmaelg
yotwmaelg
yotwmaelg
[ 本帖最后由 depressedboy 于 2008-7-21 22:06 编辑 ]yotwmaelg
yotwmaelg
手工查杀木马病毒③—3yotwmaelg
㈨、映像劫持(Image Hijacks):yotwmaelg
这里显示的是 NTSD及映像劫持相关的启动。yotwmaelg
yotwmaelg
yotwmaelg
http://blog.sina.com.cn/s/blog_51a4af870100ad99.htmlyotwmaelg
yotwmaelg
yotwmaelg
[ 本帖最后由 depressedboy 于 2008-7-21 22:03 编辑 ]yotwmaelg
yotwmaelg
手工查杀木马病毒③—4yotwmaelg
windows映像劫持技术(IFEO),所谓的IFEO就是Image File ExecutionOptions。yotwmaelg
yotwmaelg
在是位于注册表的yotwmaelg
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Optionsyotwmaelg
yotwmaelg
由于这个项主要是用来调试程序用的,对一般用户意义不大。默认是只有管理员和localsystem有权读写修改。yotwmaelg
yotwmaelg
手工劫持的方法:yotwmaelg
开始-运行-regedit,展开到:yotwmaelg
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Optionsyotwmaelg
然后选上Image File ExecutionOptions,新建个项,然后,把这个项(默认在最后面)然后改成123.exe(千万别乱写程序名哦。。。)。选上123.exe这个项,然后默认右边是空白的,我们点右键,新建个“字串符”,然后改名为“Debugger”。这一步要做好,然后回车,就可以。。。再双击该键,修改数据数值(其实就是路径)。把它改为C:\windows\system32\CMD.exe 。然后我们运行 cmd看看。。。yotwmaelg
yotwmaelg
解除劫持的方法:yotwmaelg
把该键删除了!yotwmaelg
yotwmaelg
我们来看一个被劫持了的……yotwmaelg
yotwmaelg
蔚为壮观的IFEO,稍微有些名气的都挂了:yotwmaelg
HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\avp.exeyotwmaelg
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image FileExecution Options\AgentSvr.exeyotwmaelg
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image FileExecution Options\CCenter.exeyotwmaelg
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image FileExecution Options\Rav.exeyotwmaelg
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image FileExecution Options\RavMonD.exeyotwmaelg
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image FileExecution Options\RavStub.exeyotwmaelg
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image FileExecution Options\RavTask.exeyotwmaelg
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image FileExecution Options\rfwcfg.exeyotwmaelg
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image FileExecution Options\rfwsrv.exeyotwmaelg
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image FileExecution Options\RsAgent.exeyotwmaelg
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image FileExecution Options\Rsaupd.exeyotwmaelg
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image FileExecution Options\runiep.exeyotwmaelg
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image FileExecution Options\SmartUp.exeyotwmaelg
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image FileExecution Options\FileDsty.exeyotwmaelg
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image FileExecution Options\RegClean.exeyotwmaelg
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image FileExecution Options\360tray.exeyotwmaelg
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image FileExecution Options\360Safe.exeyotwmaelg
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image FileExecution Options\360rpt.exeyotwmaelg
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image FileExecution Options\kabaload.exeyotwmaelg
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image FileExecution Options\safelive.exeyotwmaelg
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image FileExecution Options\Ras.exeyotwmaelg
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image FileExecution Options\KASMain.exeyotwmaelg
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image FileExecution Options\KASTask.exeyotwmaelg
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image FileExecution Options\KAV32.exeyotwmaelg
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image FileExecution Options\KAVDX.exeyotwmaelg
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image FileExecution Options\KAVStart.exeyotwmaelg
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image FileExecution Options\KISLnchr.exeyotwmaelg
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image FileExecution Options\KMailMon.exeyotwmaelg
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image FileExecution Options\KMFilter.exeyotwmaelg
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image FileExecution Options\KPFW32.exeyotwmaelg
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image FileExecution Options\KPFW32X.exeyotwmaelg
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image FileExecution Options\KPFWSvc.exeyotwmaelg
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image FileExecution Options\KWatch9x.exeyotwmaelg
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image FileExecution Options\KWatch.exeyotwmaelg
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image FileExecution Options\KWatchX.exeyotwmaelg
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image FileExecution Options\TrojanDetector.exeyotwmaelg
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image FileExecution Options\UpLive.EXE.exeyotwmaelg
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image FileExecution Options\KVSrvXP.exeyotwmaelg
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image FileExecution Options\KvDetect.exeyotwmaelg
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image FileExecution Options\KRegEx.exeyotwmaelg
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image FileExecution Options\kvol.exeyotwmaelg
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image FileExecution Options\kvolself.exeyotwmaelg
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image FileExecution Options\kvupload.exeyotwmaelg
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image FileExecution Options\kvwsc.exeyotwmaelg
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image FileExecution Options\UIHost.exeyotwmaelg
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image FileExecution Options\IceSword.exeyotwmaelg
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image FileExecution Options\iparmo.exeyotwmaelg
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image FileExecution Options\mmsk.exeyotwmaelg
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image FileExecution Options\adam.exeyotwmaelg
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image FileExecution Options\MagicSet.exeyotwmaelg
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image FileExecution Options\PFWLiveUpdate.exeyotwmaelg
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image FileExecution Options\SREng.exeyotwmaelg
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image FileExecution Options\WoptiClean.exeyotwmaelg
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image FileExecution Options\scan32.exeyotwmaelg
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image FileExecution Options\shcfg32.exeyotwmaelg
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image FileExecution Options\mcconsol.exeyotwmaelg
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image FileExecution Options\HijackThis.exeyotwmaelg
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image FileExecution Options\mmqczj.exeyotwmaelg
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image FileExecution Options\Trojanwall.exeyotwmaelg
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image FileExecution Options\FTCleanerShell.exeyotwmaelg
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image FileExecution Options\loaddll.exeyotwmaelg
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image FileExecution Options\rfwProxy.exeyotwmaelg
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image FileExecution Options\KsLoader.exeyotwmaelg
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image FileExecution Options\KvfwMcl.exeyotwmaelg
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image FileExecution Options\autoruns.exeyotwmaelg
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image FileExecution Options\AppSvc32.exeyotwmaelg
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image FileExecution Options\ccSvcHst.exeyotwmaelg
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image FileExecution Options\isPwdSvc.exeyotwmaelg
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image FileExecution Options\symlcsvc.exeyotwmaelg
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image FileExecution Options\nod32kui.exeyotwmaelg
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image FileExecution Options\avgrssvc.exeyotwmaelg
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image FileExecution Options\RfwMain.exeyotwmaelg
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image FileExecution Options\KAVPFW.exeyotwmaelg
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image FileExecution Options\Iparmor.exeyotwmaelg
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image FileExecution Options\nod32krn.exeyotwmaelg
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image FileExecution Options\PFW.exeyotwmaelg
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image FileExecution Options\RavMon.exeyotwmaelg
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image FileExecution Options\KAVSetup.exeyotwmaelg
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image FileExecution Options\NAVSetup.exeyotwmaelg
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image FileExecution Options\SysSafe.exeyotwmaelg
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image FileExecution Options\QHSET.exeyotwmaelg
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image FileExecution Options\zxsweep.exeyotwmaelg
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image FileExecution Options\AvMonitor.exeyotwmaelg
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image FileExecution Options\UmxCfg.exeyotwmaelg
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image FileExecution Options\UmxFwHlp.exeyotwmaelg
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image FileExecution Options\UmxPol.exeyotwmaelg
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image FileExecution Options\UmxAgent.exeyotwmaelg
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image FileExecution Options\UmxAttachment.exeyotwmaelg
------------------------------------------------------- |
yotwmaelg
现在明白被劫持的后果了吧……yotwmaelg
yotwmaelg
yotwmaelg
yotwmaelg
包含的启动路径:yotwmaelg
HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Image File ExecutionOptions yotwmaelg
HKLM\Software\Microsoft\CommandProcessor\Autorun yotwmaelg
HKCU\Software\Microsoft\CommandProcessor\Autorun yotwmaelg
HKLM\SOFTWARE\Classes\Exefile\Shell\Open\Command\(Default) yotwmaelg
yotwmaelg
yotwmaelg
手工查杀木马病毒③—5yotwmaelg
㈩、AppInit:yotwmaelg
yotwmaelg
yotwmaelg
包含的启动路径:yotwmaelg
HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows\Appinit_Dlls yotwmaelg
|
yotwmaelg
yotwmaelg
(十一)、已知 DLLs(Known DLLs):yotwmaelg
yotwmaelg
yotwmaelg
包含的启动路径:yotwmaelg
HKLM\System\CurrentControlSet\Control\SessionManager\KnownDllsyotwmaelg
|
yotwmaelg
yotwmaelg
(十二)、系统登陆(Winlogon):yotwmaelg
yotwmaelg
yotwmaelg
包含的启动路径:yotwmaelg
HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\System yotwmaelg
HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\UIHost yotwmaelg
HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Notify yotwmaelg
HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\GinaDLL yotwmaelg
HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Taskman yotwmaelg
HKCU\ControlPanel\Desktop\Scrnsave.exe yotwmaelg
HKLM\System\CurrentControlSet\Control\BootVerificationProgram\ImageName yotwmaelg
|
yotwmaelg
yotwmaelg
(十三)、Winsock 提供方(WinsockProviders):yotwmaelg
yotwmaelg
Winsock,即 Windows 套接字。为 Windows 下的软件提供TCP/IP 接口的应用程序编程接口 (API) 标准。yotwmaelg
yotwmaelg
WinSock是在90年代初,为了方便网络编程而由Microsoft联合几家公司共同制定的一套WINDOWS下的网络编程接口,即WindowsSockets规范,它不是一种网络协议,而是一套开放的、支持多种协议的Windows下的网络编程接口。Socket实际在计算机中提供了一个通信端口,可以通过这个端口与任何一个具有Socket接口的计算机通信。应用程序在网络上传输,接收的信息都通过这个Socket接口来实现。Socket也称为“套接字”。yotwmaelg
yotwmaelg
Winsock 2是一个接口,而不是协议,所以它可以用于发现和使用任意数量的底层传输协议所提供的通信能力。起初的Winsock是围绕着TCP/IP协议运行的,但是在Winsock2中却增加了对更多传输协议的支持。Winsock 2不仅提供了一个供应用程序访问网络服务的Windowssocket应用程序编程接口(API),还包含了由传输服务提供者和名字解析服务提供者实现的Winsock服务提供者接口(SPI)和ws2_32.dll。本文仅讨论传输服务提供者及其应用,暂不对名字解析服务提供者进行分析。yotwmaelg
Winsock2的传输服务提供者是以动态链接库的形式(DLL)存在的,它是通过WSPStartup函数为上层函数提供接口,而其他的传输服务提供者函数则是通过分配表的方式来访问WS2_32.DLL。传输服务提供者的动态链接库只有在应用程序需要时才由Ws2_32.dll来装入内存中的,在不需要时则会被自动卸载。yotwmaelg
yotwmaelg
yotwmaelg
“如果不想别人使用某个软件,只要在其安装目录下新建一个名为ws2_32.dll的文件,这样系统就会提示应用程序出错而禁止运行。请问为什么?”yotwmaelg
现在,我们来看网络上流行的一句话(上面的),明白他的原理了吗?那么,明白他的局限性了吗?yotwmaelg
提示:1,必须这个程序使用Winsock。2,程序运行时需要先加载这个DLL,而程序寻找这个DLL时的顺序是先当前目录下寻找,找不到再从环境变量PTAH中寻找。yotwmaelg
|
yotwmaelg
yotwmaelg
包含的启动路径:yotwmaelg
HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9 yotwmaelg
HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries yotwmaelg
|
yotwmaelg
yotwmaelg
(十四)、打印监控器(Print Monitors):yotwmaelg
yotwmaelg
yotwmaelg
包含的启动路径:yotwmaelg
HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors yotwmaelg
|
yotwmaelg
yotwmaelg
(十五)、LSA 提供方(LSA Providers):yotwmaelg
yotwmaelg
yotwmaelg
包含的启动路径:yotwmaelg
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SecurityProviders yotwmaelg
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\AuthenticationPackages yotwmaelg
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\NotificationPackages yotwmaelg
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\SecurityPackagesyotwmaelg
|
yotwmaelg
yotwmaelg
(十六)、Network 提供方(NetworkProviders):yotwmaelg
yotwmaelg
yotwmaelg
包含的启动路径:yotwmaelg
HKLM\SYSTEM\CurrentControlSet\Control\NetworkProvider\Order yotwmaelg
|
yotwmaelg
yotwmaelg
特别说明:本选项卡为v9.30中的内容,v8.51汉化版中没有。yotwmaelg
yotwmaelg
[ 本帖最后由 depressedboy 于 2008-7-21 21:59 编辑 ] |
