|
[sysshield]系统安全盾
几点探讨和说明:
①root=HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
rkey=Shell //这个也可以,但偶的win2003下 rval=Explorer.exe 不需要%SystemRoot%路径(以注册表中所见为准,不知xp是否有路径)
rval=%SystemRoot%\Explorer.exe
——加上%SystemRoot%是强行指定系统外壳路径,Windows默认是没有的。如果恶意程序用Explorer.exe为文件名,并放到System(NT为System32)目录,则由于后者的路径优先级要高,因此病毒可以优先于系统外壳被加载!
②; 防范恶意程序彻底隐藏文件(开启显示隐藏文件也不行!)
rem 防范恶意程序彻底隐藏文件://不能用rem开头做注释,注释全部以;开头
root=HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
rkey=Checkedvalue //这个偶的注册表中无此键值名,看值的样子好象不是REG_SZ型
rval=00000000
——这个不是Windows的默认键值。如果对此处进行修改,则即使在资源管理器文件夹选项中启用显示系统及隐藏文件,资源管理器也不会显示的!某些病毒就是用此法隐蔽自己,效果不错。本人用的是TotalCommander,因此经常可以在别人机器上找到好多类似的隐蔽恶意程序!
③; 修正和防范启动组位置重定向:
root=HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
rkey=Startup
;这个偶不确定,因为我的是rval=E:\Documents and Settings\Administrator\「开始」菜单\程序\启动
;各个机器可能会不同吧,以注册表中所见为准
rval="%USERPROFILE%\「开始」菜单\程序\启动"
——修改此处键值可以重定向启动组位置,此时开始菜单中的启动组却仍然指向原来的位置。这给恶意程序自动加载提供了隐蔽的手法。
----------------------------------------
其实恶意程序可以利用的地方还有许多,现在知道了方法,以后就好办了!希望大家经常交流配置文件!
感谢Wang兄的热心指导!希望大家献计献策,让大家都能够用上一个方便无比的好东西!
再次感谢、致敬! |
|