一.自動運行
上次講了自動運行的兩個注冊表位置及兩個文件位置.即
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
C:\Documents and Settings\All Users\「開始」菜單\程序\啟動
C:\Documents and Settings\你的用戶名\「開始」菜單\程序\啟動
這四個是病毒最喜歡的地方,要引起重視.

除此之外還有:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
與run的區別是,RunOnce只在下機開機時運行一次,以后不再運行,而run則每次開機時都啟動,RunOnceEx不創建單獨進程,通常以DLL形式加載,即使DLL調用出錯,也可設置相應標志而不出現任何出錯提示,微軟解釋:http://support.microsoft.com/kb/232487/en-us/
RunServices加載優先于Run,而RunServicesOnce,顧名思義,只運行一次的.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
這兩個位置常常被忽略,大家注意一下.

HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows
這里load的值也要注意下

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
這兩個下面的Notify,Userinit,Shell的值也要注意,這三個的鍵值可以用逗號分隔多個程序.這里也要特別注意.正常情況下,shell的值為Explorer.exe,Userinit的值為userinit.exe,(可能是完整路徑)

其他需要注意的地方還有(不多見):
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System\Scripts
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System\Scripts

可能有些項或鍵在你電腦上并不存在,可以新建的.

二.映像劫持.
原理:NT系統在試圖運行一個程序時,先會檢查程序是不是可執行文件,如果是的話,再檢查格式,然后就會檢查是否存在,如果不存在的話,它會提示系統找不到文件或者是"指定的路徑不正確"等等.
映像劫持的全稱為Image File Execution Options
被病毒利用后的癥狀:殺毒軟件,常用系統工具打不開,你運行正常程序,但打開的卻是病毒程序.

舉例:正常情況下,雙擊桌面上的IE圖標就會打開瀏覽器,被劫持后實際運的并不是IE,而是另外一個程序,這里的另一個程序我以記事本為例來說明.
注冊表路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

先打開注冊表并定位到這個位置,新建項,名為iexplore.exe

在右邊新建字符串值,名為Debugger,雙擊它,將值改為notepad.exe,確定.

此時雙擊桌面上的IE圖標時將打開記事本.解決辦法是把剛才新建的全部刪除.
另一種辦法是找到IE的真正路徑,將其他重命名后再運行.通常殺毒軟件被劫持時,我們采用重命名法.
很多病毒都會利用這個地方,當你運行正常程序時,實際運行的卻是病毒.
可能你會發現你的注冊表中有一些后綴為dll或其他的項, 這些是可以刪除的,不刪也沒關系,但如果它下面有名為Debugger的鍵并且值為一可執行文件路徑時,就要引起注意了.
當然你也可以反過來劫持病毒,方法是一樣的.
當Debugger指定的路徑值不存在時,將出現錯誤. 比如我把剛才的notepad.exe改成c:\abc\abc.exe

如果打開目錄C:\Program Files\Internet Explorer直接運行IEXPLORE.EXE則出現下面結果:

三.自動播放
提到自動播放,不得不說的一個文件就是autorun.inf,通常它具有隱藏屬性,同時它也是一個配制文件.
autorun.inf是windows下操縱光盤等行為的一個文件,需要放在根目錄下,部分操作對于硬盤,U盤也適用.
比如插入殺毒軟件的安裝光盤,系統將自動運行它的安裝程序,這給我們帶來了不少方便,但也給病毒的傳播帶來了方便.
所謂的U盤病毒就是利用這個文件來傳播的病毒,如果你開啟了自動播放功能,則當你雙擊U盤的時候,病毒就運行了.對于硬盤也是一樣的.有時病毒清理完畢后,雙擊硬盤卻打不開了,原因是病毒不存在了,而autorun.inf這個文件仍然存在...
這個文件的一般內容如下:
復制內容到剪貼板
代碼:
[autorun]
open=progict1.exe
shell\open=打開(&O)
shell\open\Command=progict1.exe
shell\open\Default=1
shell\explore=資源管理器(&X)
shell\explore\Command=progict1.exe
open=progict1.exe
如果存在progict1.exe這個文件,當你雙擊盤符時,就會自動運行這個文件,等號后面可以是完整的文件路徑
shell\open=打開(&O)
shell\open\Command=progict1.exe
第一行,將使右鍵出現一個打開命令,第二行當你選擇打開時,實際執行的是progict1.exe這個文件
shell\explore=資源管理器(&X)
shell\explore\Command=progict1.exe
情況類似于上面的,因此用右鍵打開磁盤也并不一定是安全的.

中毒后正確的做法有:
1,在我的電腦地址欄中輸入路徑,如C:\
2,單擊文件夾圖標,從左邊樹型目錄打開.
3,從開始菜單啟動資源管理器,從左邊樹型目錄打開
4,利用第三方工具,如winRAR,還是用地址欄.

一般情況,中毒后,先按上述方法找到autorun.inf,用記事本打開它,查看其指向的文件是什么,刪除autorun.inf和它所指向的文件,一般來說,其指向的文件和autorun.inf一樣也在磁盤根目錄,但有時并不一定,也可能在系統目錄等.

一般建議關閉自動播放功能:
開始,運行,輸入gpedit.msc,打開組策略
計算機配制,管理模板,系統
在右邊找到期"關閉自動播放",雙擊它,改為已啟用,并選擇所有驅動器,確定.

新增動作:
1,復制自身到系統目錄
2,開機自動運行
3,映像劫持某些程序

修正:只允許一個實例運行

解決方法

1,結束進程,其他參照第2課和第4課的內容.

2,刪除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下名為"演示程序"的鍵.

3,刪除如下映像劫持項目(不帶單引號): '360Safe.exe','360tray.exe','avp.exe','CCenter.exe','qq.exe','regedit.exe','msconfig.exe','notepad.exe','cmd.exe','nod32.exe'

4,刪除文件:%systemroot%/system32/anti3.exe

注1:真正的病毒可能會添加到多處可自啟動的地方,劫持絕大部分安全軟件和系統工具等.
注2:由于劫持了注冊表,運行演示程序后注冊表將打不開,請按上面說的辦法解決.(到%systemroot%目錄下找到regedit.exe,將其重命名后即可運行)

注3:可能對某些人有用:
360rpt.exe,360Safe.exe,360tray.exe,adam.exe,AgentSvr.exe,AppSvc32.exe,AST.exe,autoruns.exe,avgrssvc.exe,AvMonitor.exe,avp.com,avp.exe,CCenter.exe,ccSvcHst.exe,FileDsty.exe,HijackThis.exe,FTCleanerShell.exe,IceSword.exe,iparmo.exe,Iparmor.exe,isPwdSvc.exe,kabaload.exe,KaScrScn.SCR,KASMain.exe,KASTask.exe,KAV32.exe,KAVDX.exe,KAVPFW.exe,KAVSetup.exe,KISLnchr.exe,KAVStart.exe,KMailMon.exe,KMFilter.exe,KPFW32.exe,KPFW32X.exe,KPFWSvc.exe,KRegEx.exe,krepair.COM,KsLoader.exe,KVCenter.kxp,KvDetect.exe,KvfwMcl.exe,KVMonXP.kxp,KVMonXP_1.kxp,kvol.exe,kvolself.exe,KvReport.kxp,KVScan.kxp,KVSrvXP.exe,KVStub.kxp,kvupload.exe,kvwsc.exe,KvXP_1.kxp,KvXP.kxp,KWatch9x.exe,KWatch.exe,KWatchX.exe,loaddll.exe,MagicSet.exe,mcconsol.exe,mmqczj.exe,mmsk.exe,NAVSetup.exe,PFW.exe,PFWLiveUpdate.exe,QHSET.exe,Ras.exe,Rav.exe,RavMon.exe,RavMonD.exe,SysSafe.exe,TrojanDetector.exe,symlcsvc.exe,SREng.exe,SmartUp.exe,shcfg32.exe,scan32.exe,safelive.exe,runiep.exe,Rsaupd.exe,RsAgent.exe,rfwsrv.exe,RfwMain.exe,rfwcfg.exe,RegClean.exe,rfwProxy.exe,RavTask.exe,RavStub.exe,Trojanwall.exe,TrojDie.kxp,UIHost.exe,UmxAgent.exe,UmxAttachment.exe,UmxCfg.exe,UmxFwHlp.exe,UmxPol.exe,UpLive.EXE.exe,WoptiClean.exe,zxsweep.exe,regedit.exe,msconfig.exe,mmc.exe,taskmgr.exe