當(dāng)前位置 : 首頁(yè)>軟件學(xué)院>網(wǎng)絡(luò)技術(shù)>黑客攻防>正文

啥都不如手工殺毒靠譜淺談手工殺毒

http://m.yibo1263.com　2009-2-21 9:24:06 　來(lái)源:東北IT網(wǎng) 　編輯:葉子

　　運(yùn)行services.msc可以啟動(dòng)系統(tǒng)服務(wù)配置。如果病毒成功的獲取了系統(tǒng)權(quán)限，成功的注冊(cè)成了系統(tǒng)服務(wù)，那么這里也是不能放過(guò)的。通常在這里優(yōu)化系統(tǒng)的服務(wù)可以減少必要的進(jìn)程從而達(dá)到優(yōu)化系統(tǒng)的目的。這些服務(wù)設(shè)置為自動(dòng)則會(huì)在開機(jī)時(shí)自啟動(dòng)，設(shè)置為手動(dòng)則是在必要是調(diào)用啟動(dòng)。對(duì)于危險(xiǎn)項(xiàng)(比如Remote Registry)則通常是禁用的。
啥都不如手工殺毒靠譜淺談手工殺毒

　　

　　病毒注冊(cè)成服務(wù)后，有些很明顯，沒(méi)有描述啟動(dòng)位置也很可疑，有些則會(huì)偽裝。下圖是我以前遇到過(guò)的一個(gè)例子，這讓人想起了進(jìn)程里的偽裝，雖然拙劣但是用心良苦。
啥都不如手工殺毒靠譜淺談手工殺毒

　　

　　修改服務(wù)時(shí)，最好也做好備份，可以導(dǎo)出注冊(cè)表對(duì)應(yīng)分支HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices。

　　還有一個(gè)地方值得一看，那就是啟動(dòng)/關(guān)機(jī)腳本。運(yùn)行g(shù)pedit.msc啟動(dòng)組策略編輯器，在位于用戶配置-Windows設(shè)置-腳本(登錄/注銷)位置，在這里設(shè)置的腳本將會(huì)在登錄或注銷自動(dòng)執(zhí)行。
啥都不如手工殺毒靠譜淺談手工殺毒

　　但是很多時(shí)候處理問(wèn)題并不是這么復(fù)雜，使用集成工具可以大大簡(jiǎn)化這些操作。我用的是功能強(qiáng)大的Autoruns(呵呵，又是一個(gè)Sysinternals的東西)。這個(gè)工具把系統(tǒng)的啟動(dòng)項(xiàng)統(tǒng)統(tǒng)籠絡(luò)在一個(gè)界面里提供管理和查詢，有用的描述和映像路徑幫助我們找出可疑文件。當(dāng)然，工具越是強(qiáng)大也就越是危險(xiǎn)，以前我還在琢磨Autoruns的使用的時(shí)候就搞的系統(tǒng)崩潰了，以后用的時(shí)候格外小心...

本新聞共6頁(yè),當(dāng)前在第5頁(yè) 1 2 3 4 5 6

【收藏】【打印】【進(jìn)入論壇】

相關(guān)文章：

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费