荔园在线

荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀

[回到开始] [上一篇][下一篇]

发信人: popstar (习惯孤独的狼), 信区: Virus
标  题: 计算机病毒与注册表
发信站: 荔园晨风BBS站 (Tue Aug 13 22:56:52 2002), 站内信件



                          计算机病毒与注册表

                                                      作者:孤狼

    当计算机病毒发展到后病毒时代的时候病毒往往与木马集成起来,或者互相利
用,有名的红色代码和nimda就是一个很好的例子。在纵观病毒的发展史,渐渐地
你会发现病毒在以后的发展过程中往往与注册表有着休憩相关的关系的。
   对于一个在电脑病毒方面很菜的人来说,当他发现自己的机子有什么异常的话
,或者怀疑中毒,他往往会第一个检查
localmachine/software/microsoft/windows/currentversion/run子键下有何异常
。稍有经验的人,他更会再检查一下自己的进程中有什么异常的程序在执行,当在
这两个地方发现异常,立刻处理掉,然后再启动杀毒软件。或者比较老练的会根据
记录找一些相关的资料,具体分析病毒的传染方式原理和清除方法,或者手工清除
方法(手工清除虽然很麻烦,不过你如果是第一次使用,你会有一种成就感^_^)而
这些清除方法大都与注册表的操作有关,在注册表内操作,只要你不乱删应该不会
出多么大的麻烦的……而且很多是与currentversion键里的子键有关的。
   经调查在深大里面大多数人都用 norton或者金山毒霸,至于瑞星和老K 以及其
他国外的杀毒软件都很少有人用的。在一般的情况下,只要在病毒码升级以后无论
应用金山还是norton都应该查到的,因为一个在国内的响应时间比较快,另一个的
观测点遍布世界各地,影响也比较大,所以在国际范围内响应时间比较快,两者可
以互相补充。
   经常会见到很多人在BBS上喊着找病毒码,在virus也经常会见到superboy和KC
等网友为大家提供更新。可是我还是建议自己动手,丰衣足食,一般在pconline或
者金山的网站或者其他知名站点如华军等都会有更新的。至于norton2002可以通过
liveup直接升级的,我已经试过好几次了,有的人会担心由于浏览国际网站增加流
量费,不过我个人认为很多可能性是由国内分站点提供的(有待于证实中……
^_^),金山的N多个版本我已经试过了,包括所谓真正可以升级的那个版本,直接升
级率不高。也尝试过下载升级补丁,虽然有点反应,但还是不能令人满意。其实在
金山的主页上已经有很详细的分类下载了,速度也不会很慢,至于流量,肯定不会
收钱的啦(国内的站点!)
   既然讲到了这里就再多讲一点,金山有的时候显示需重启后才能完全清除,原
因很简单,病毒程序在运行的过程中,方法一:结束病毒进程,至于结束哪个,这
个不用我在罗嗦了吧^_^方法二:就在上述注册表run里删掉启动项目重启然后再查
(有的病毒是捆绑的,一定要注意,重启后也不要用其他的应用程序)。norton在
这方面就做得比金山好点,不过他的克星win32.pinfi经常把她弄得半死,所以经
常升级定义码和查杀是必要的。
   之后呢,在传染途径上来说,在我们学校来说很大一部分是在ftp之间传染的,
在上网的时候感染也占一部分(如最近的donghe,具体的解决方法我已经有相关的
帖子了)。
    在ftp之间传染的病毒以nimda为最ft的了,弄得一些人是format and
format and no use其实你仔细的看一些有关nimda分析的资料或者我或者一些网友
发的杀毒心得(不要闲长)你会有所领悟的。在深大来说ftp是比D版还好用的东东
了,弊端就是病毒的传染也就更快了,如果你不是一个对计算机病毒很out的人,
你经常更新病毒码的话,这些事情一般不会发生在你身上的^_^。
    在上网的时候遇到病毒特别是恶意代码就与我今天要说的注册表有很大关系了

常见的是一些恶意代码修改你的注册表,把你的计算机弄得乱七八糟的,这里我总
结了一些常见的,供大家参考:
   首先就是注册表锁定,解决方法:
win2000系统
Windows Registry Editor Version 5.00
[Hkey_current_user\Software\microsoft\windows\currentversion\Policies\sy
stem]
"DisableRegistryTools"=dword:00000000
win98/me系统
REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Sy
stem]
"DisableRegistryTools"=dword:00000000
将代码保存为reg文件双击,好了,你已经解除锁定了

   修改IE标题
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main在注册表中找
到以上两处主键删除下面的window title子键,按道理要重启才行,不过我试过关
闭所有浏览器然后再打开新网页一切就正常了。.

   开机时弹出讨厌的对话框,比如:“欢迎访问XX网站什么的”
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon在
注册表中找到此主键,将其下的“LegalNoticeCaption”和“LegalNoticeText”
主键删除或者索性删除整个winlogon

   右键中舔加广告
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt找,然后
del

   主页锁定
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control
 Panel]下面的homepage
值改为1

  时间不见了
hkey_current_user\controlpanel\international修改stimeformat为:“hh:mm:
ss”
   先讲这么多吧,有空再补充吧,其实随便找个关于注册表的书都可以找到这些

解决方案呢一般最好升级IE到6.0;2000中禁用“控制面板”—“管理工具”—“
服务”中禁用Remote Registry Service服务;IE的设置中将脚本设为“提示”


                                                                     (初
稿,未整理,未正式发表)










--
※ 修改:·popstar 於 Aug 13 22:57:37 修改本文·[FROM: 192.168.36.57]
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.36.57]

[回到开始] [上一篇][下一篇]

荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店