萬盛學電腦網

 萬盛學電腦網 >> 病毒防治 >> 電腦要安全:小心你的系統啟動項

電腦要安全:小心你的系統啟動項

  一、“啟動項目

  我們知道,Windows中有自帶的啟動文件夾,它是最常見的啟動項目,但很多人卻很少注意仔細檢查它。

  如果把程序裝入到這個文件夾中,系統啟動就會自動地加載相應程序,而且因為它是暴露在外的,所以非常容易被外在的因素更改。

  具體的位置是“開始菜單中的“啟動選項:

  在硬盤上的位置是:C:\Documents and Settings\Administrator\「開始」菜單\程序\啟動;

  在注冊表中的位置是:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run;

  現在你可以打開看看裡面有沒有什麼不明的程序存在。

  二、msconfig

  msconfig是Windows系統中的“系統配置實用程序,它管的方面可夠寬,包括:system.ini,win.ini,啟動項目等。同樣,裡面也是自啟動程序非常喜歡待的地方!

  1.system.ini

  首先,在“運行對話框中輸入“msconfig來啟動系統配置實用程序(下同),找到system.ini標簽,裡面的 “shell=……就可以用來加載特殊的程序,如果你的shell=後面不是默認的explorer.exe,或者說後面還有一個程序的名字,那你可要小心了,請仔細檢查相應的程序是否安全!

  2.win.ini

  如果我們想加載一個程序:hack.exe,那麼可以在win.ini中用下面的語句來實現:

[windows]

load=hack.exe

run=hack.exe

  該怎麼做,你應該知道了吧!

  3.“啟動項目

  系統配置實用程序中的啟動標簽和我們上面講的"啟動"文件夾並不是同一個東西,在系統配置實用程序中的這個啟動項目是Windows系統啟動項目的集合地,幾乎所有的啟動項目部能在這裡找到----當然,經過特殊編程處理的程序可以通過另外的方法不在這裡顯示。

  打開“啟動標簽,“啟動項目中羅列的是開機啟動程序的名稱,“命令下是具體的程序附加命令,最後的"位置"就是該程序在注冊表中的相應位置了,你可以對可疑的程序進行詳細的路徑、命令檢查,一旦發現錯誤,就可以用下方的"禁用"來禁止該程序開機時候的加載。

  一般來講,除系統基於硬件部分和內核部分的系統軟件的啟動項目外,其他的啟動項目都是可以適當更改的,包括:殺毒程序、特定防火牆程序、播放軟件、內存管理軟件等。也就是說,啟動項目中包含了所有我們可見的程序的列表,你完全可以通過它來管理你的啟動程序!

  三、注冊表中相應的啟動加載項目

  注冊表的啟動項目是病毒和木馬程序的最愛!非常多的病毒相木馬的頑固性就是通過注冊表來實現的,所以平常的時候可以下載個注冊表監視器來監視注冊表的改動,特別是在安裝了新的軟件或者是運行了新的程序的時候,一定不要被程序漂亮的外表迷惑。一定要看清楚它的實質是不是木馬的偽裝外殼或者是捆綁程序!必要的時候可以根據備份來恢復注冊表,這樣的注冊表程序網上很多,這裡也就不再羅嗦了。

  我們也可以通過手動的方法來檢查注冊表中相應的位置,雖然它們很多是和上文講的位置重復,但是對網絡安全來講,小心是永遠不嫌多的!

  注意同安全、清潔的系統注冊表相應鍵進行比較,如果發現不一致的地方,一定要弄清楚它是什麼東西!不要相信寫在外面的 “system、“windows、“programfiles等名稱,誰都知道"欲蓋彌彰"的道理。如果經過詳細的比較,可以確定它是不明程序的話,不要手軟,馬上刪除!

  四、wininit.ini

  我們知道,Wiidows的安裝程序常常調用這個程序來實現安裝程序後的刪除工作,所以不要小看它,如果在它上面做手腳的話,可以說是非常隱蔽、非常完美的!

  它在系統盤的Windows目錄下,用記事本打開它 (有時候是wininit.hak文件)可以看到相應的內容,很明顯,我們可以在裡面添加相應的語句來達到修改系統時候程序或者是刪除程序的目的如果是文件關聯型的木馬,可以通過winint.ini來刪除它感染後的原始文件,從而達到真正隱藏自己的目的!

  五、Dos下的戰斗

  最後,我們說說DOS下的啟動項目的加載,config.sys、autoexec.bat、*.bat等文件都可以用特定的編程方式來實現加載程序的目的,所以不要以為DOS就是個過時的東西,好的DOS下的編程往往能達到非常簡單、非常實用的功能!

  3.“啟動項目

  系統配置實用程序中的啟動標簽和我們上面講的"啟動"文件夾並不是同一個東西,在系統配置實用程序中的這個啟動項目是Windows系統啟動項目的集合地,幾乎所有的啟動項目部能在這裡找到----當然,經過特殊編程處理的程序可以通過另外的方法不在這裡顯示。

  打開“啟動標簽,“啟動項目中羅列的是開機啟動程序的名稱,“命令下是具體的程序附加命令,最後的"位置"就是該程序在注冊表中的相應位置了,你可以對可疑的程序進行詳細的路徑、命令檢查,一旦發現錯誤,就可以用下方的"禁用"來禁止該程序開機時候的加載。

  一般來講,除系統基於硬件部分和內核部分的系統軟件的啟動項目外,其他的啟動項目都是可以適當更改的,包括:殺毒程序、特定防火牆程序、播放軟件、內存管理軟件等。也就是說,啟動項目中包含了所有我們可見的程序的列表,你完全可以通過它來管理你的啟動程序!

  三、注冊表中相應的啟動加載項目

  注冊表的啟動項目是病毒和木馬程序的最愛!非常多的病毒相木馬的頑固性就是通過注冊表來實現的,所以平常的時候可以下載個注冊表監視器來監視注冊表的改動,特別是在安裝了新的軟件或者是運行了新的程序的時候,一定不要被程序漂亮的外表迷惑。一定要看清楚它的實質是不是木馬的偽裝外殼或者是捆綁程序!必要的時候可以根據備份來恢復注冊表,這樣的注冊表程序網上很多,這裡也就不再羅嗦了。

  我們也可以通過手動的方法來檢查注冊表中相應的位置,雖然它們很多是和上文講的位置重復,但是對網絡安全來講,小心是永遠不嫌多的!

  注意同安全、清潔的系統注冊表相應鍵進行比較,如果發現不一致的地方,一定要弄清楚它是什麼東西!不要相信寫在外面的 “system、“windows、“programfiles等名稱,誰都知道"欲蓋彌彰"的道理。如果經過詳細的比較,可以確定它是不明程序的話,不要手軟,馬上刪除!

  四、wininit.ini

  我們知道,Wiidows的安裝程序常常調用這個程序來實現安裝程序後的刪除工作,所以不要小看它,如果在它上面做手腳的話,可以說是非常隱蔽、非常完美的!

  它在系統盤的Windows目錄下,用記事本打開它 (有時候是wininit.hak文件)可以看到相應的內容,很明顯,我們可以在裡面添加相應的語句來達到修改系統時候程序或者是刪除程序的目的如果是文件關聯型的木馬,可以通過winint.ini來刪除它感染後的原始文件,從而達到真正隱藏自己的目的!

  五、Dos下的戰斗

  最後,我們說說DOS下的啟動項目的加載,config.sys、autoexec.bat、*.bat等文件都可以用特定的編程方式來實現加載程序的目的,所以不要以為DOS就是個過時的東西,好的DOS下的編程往往能達到非常簡單、非常實用的功能!

  作者:kaduo

【賽迪網-IT技術報道】據趨勢科技透露,近日截獲了一個散播令人驚愕的奧運和天災謠言的暴風(Storm)僵屍木馬新變種。該變種偽裝成該新聞的視頻鏈接或視頻解碼器,誘騙用戶浏覽或安裝。

該假消息稱,奧運城市北京遭遇有史以來最大的地震,上百萬人被奪去生命,2008北京奧運會將面臨失敗的威脅。病毒還故意提供了一個詳細內容的鏈接http:// {block}norlaw.cn/。分析發現,該網址除了假新聞主體外,還含有iFrame隱性攻擊代碼和偽裝成視頻鏈接或視頻解碼器的暴風(Storm)僵屍木馬新變種。用戶如果點擊鏈接嘗試觀看,將下載一個名為beijing.exe病毒體。一旦病毒成功執行,機器就會變成黑客可以遠程控制的僵屍機器。

此次暴風僵屍網絡集團利用人們的好奇心,通過社交工程學方法,發布了眾多題材的假時事資訊,內容涵蓋了影視娛樂資訊(15條),重大天災(10條),時政要聞(6條),汽車電子消費資訊(3條),體育賽事資訊(2條),商界要聞(2條),其他(1條)。

散奧運和天災謠言 暴風僵屍網絡欲借屍還魂
假新聞類別

隨著2008歐洲杯賽事的推進和2008北京奧運會的即將召開,黑客很可能會更多的利用廣大體育迷們的關注和熱情,實施攻擊。

另外,對於經常浏覽博客或網絡社區的網友,請盡量不要浏覽張貼可信度差的鏈接。對於經常使用P2P網絡共享軟件下載電影的用戶,請小心防備暴風僵屍木馬化身為解碼器,混在其中。

目前趨勢科技針已經發布了針對此次病毒威脅的完整解決方案,大

copyright © 萬盛學電腦網 all rights reserved