文件关联型木马的特殊化查杀

  一、什么是并联方式
  令人费解的是，本身明显曾经删除了木马文件和相应的启动项，却为什么不克不及规复正常呢?不罕用户都很疑惑，难道删除的木马居然歹意修改了操纵体系焦点吗?要想解开这些疑惑，我们就不得不从什么是文件的“并联方式”提及，由于这种木马修改了应用程序文件(通常是EXE)的并联方式。提及Windows体系，就不克不及不谈到注册表，注册表在Windows体系中的地位是高高在上的，要是用户使用的是Windows体系，而至今还不晓得什么注册表的话，那么照旧先找些注册表和Windows体系原理的资料好好补习补习吧!
  在Windows体系中，几乎全部文件的翻开操纵都是通过注册表内相应键值指定的应用程序来执行的，这个部分位于注册表的“HKEY_CLASSES_ROOT”主键内。当体系收到一个文件名请求时，就会凭据这个文件的后缀名联合注册内外存储的相应键值来辨认文件范例，从而调用相应的程序将其翻开、执行。无论是文件夹、文档照旧应用程序，Windows体系都将其视为一个文件，固然也拥有文件范例，异样可以用其他方式开启。例如：种种音频、视频文件(如：rm、avi、wmv、mp3等)都可以使用两种以上的程序将其翻开播放。只不过Windows体系将应用程序(EXE)设置它的调用程序为“"%1" %*”，让体系内核明白为“可执行请求”，它就会为使用这种翻开方式的文件创立历程，终极文件就被加载执行了。要是有其他的程序更改了这个键值，Windows就会调用那个指定的文件来开启它。
  二、木马原理
  那些文件并联木马程序会把EXE后缀名对应的exefile范例的“翻开方式”改成为“木马程序”%1" %*”，运行程序时体系就会先为“木马程序”创立历程，把紧随着的文件名作为参数传递给木马执行，如许用户就被木马欺骗了，用户会觉得程序曾经被正常启动了。由于木马程序被作为全部EXE文件的调用程序，使得它可以长期驻留内存，每次都能规复本身文件，所以在一般用户看来，这个木马就做到了“永生不死”或以为是又“大张旗鼓”了，其实用户相识这些木马的原理后，就晓得它既不克不及“长命百岁”，也没有“死而复生”的本领。
  三、结果紧张
  但是，用户一旦将木马程序删除，Windows体系就会找不到相应的调用程序，于是正常程序就无法执行了，这便是所谓的“全部程序都无法运行”的情况泉源。并不是木马更改了体系焦点，固然用户也就没须要因而重装整个操纵体系啦。
  四、革除方法
  革除这种木马的最简双方法只需要查看EXE文件的翻开方式被指向了什么程序，立刻制止这个程序的历程，要是它还孕育发生了其他木马文件的话，也一同制止。紧随其后，在保持注册表编辑器开启着的情况下(不然你的全部程序都市打不开了)删除掉全部木马文件(条件是用户晓得哪些是目木马文件，所以还不熟习体系的用户抓紧工夫恶补吧)，把exefile的“翻开方式”项
  (HKEY_CLASSES_ROOT\exefile\shell\open\command)
  改回原来的“”%1” %*”即可。
  注册表键值
  要是删除木马前忘记把并联方式改回来，就会发明程序打不开了，这时候千万不要乱了方寸。要是你是Win9x用户，请使用“外壳更换大法”：重启体系后，按F8进入启动菜单选择MS-DOS模式，把Explorer.exe任意改个名字，再把REGEDIT.EXE更名为Explorer.exe，再次重启后会发明进入Windows只剩下一个注册表编辑器了，从速把并联方式改回来吧!再次重启的时候，别忘记规复以前的Explorer.exe程序名。
  对于Win200用户而言，这个操纵就更简单了，只需在开机时按F8进入启动菜单，选择“下令提示符的安全模式”举行启动，体系就会自动调用下令提示符界面作为外壳，直接在内里输出REGEDIT即可翻开注册表编辑器!
  而XP用户甚至不需要重启体系，就可以直接在“翻开方式”里输出“CMD”后回车，就能翻开“下令提示符”界面，然后运行注册表编辑器REGEDIT.EXE就OK了。接下来需要做的便是把程序的翻开方式改成“”%1” %*”即可。
 

文章作者: 福州军威计算机技术有限公司
军威网络是福州最专业的电脑维修公司,专业承接福州电脑维修、上门维修、IT外包、企业电脑包年维护、局域网网络布线、网吧承包等相关维修服务。
版权声明：原创作品，允许转载，转载时请务必以超链接形式标明文章原始出处 、作者信息和声明。否则将追究法律责任。

评论加载中... 内容： 评论者： 验证码：