一.自动运行
上次讲了自动运行的两个注册表位置及两个文件位置.即
HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run
C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\\启动
C:\\Documents and Settings\\你的用户名\\「开始」菜单\\程序\\启动
这四个是病毒最喜欢的地方,要引起重视.

除此之外还有:
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnceEx
HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\RunServicesOnce
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnce
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnceEx
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunServicesOnce
与run的区别是,RunOnce只在下机开机时运行一次,以后不再运行,而run则每次开机时都启动,RunOnceEx不创建单独进程,通常以DLL形式加载,即使DLL调用出错,也可设置相应标志而不出现任何出错提示,微软解释:http://support.microsoft.com/kb/232487/en-us/
RunServices加载优先于Run,而RunServicesOnce,顾名思义,只运行一次的.

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\Run
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\Run
这两个位置常常被忽略,大家注意一下.

HKEY_CURRENT_USER\\Software\\Microsoft\\WindowsNT\\CurrentVersion\\Windows
这里load的值也要注意下

HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon
这两个下面的Notify,Userinit,Shell的值也要注意,这三个的键值可以用逗号分隔多个程序.这里也要特别注意.正常情况下,shell的值为Explorer.exe,Userinit的值为userinit.exe,(可能是完整路径)

其他需要注意的地方还有(不多见):
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System\\Shell
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\ShellServiceObjectDelayLoad
HKEY_CURRENT_USER\\Software\\Policies\\Microsoft\\Windows\\System\\Scripts
HKEY_LOCAL_MACHINE\\Software\\Policies\\Microsoft\\Windows\\System\\Scripts

可能有些项或键在你电脑上并不存在,可以新建的.

二.映像劫持.
原理:NT系统在试图运行一个程序时,先会检查程序是不是可执行文件,如果是的话,再检查格式,然后就会检查是否存在,如果不存在的话,它会提示系统找不到文件或者是"指定的路径不正确"等等.
映像劫持的全称为Image File Execution Options
被病毒利用后的症状:杀毒软件,常用系统工具打不开,你运行正常程序,但打开的却是病毒程序.

举例:正常情况下,双击桌面上的IE图标就会打开浏览器,被劫持后实际运的并不是IE,而是另外一个程序,这里的另一个程序我以记事本为例来说明.
注册表路径:HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options

先打开注册表并定位到这个位置,新建项,名为iexplore.exe

在右边新建字符串值,名为Debugger,双击它,将值改为notepad.exe,确定.

此时双击桌面上的IE图标时将打开记事本.解决办法是把刚才新建的全部删除.
另一种办法是找到IE的真正路径,将其他重命名后再运行.通常杀毒软件被劫持时,我们采用重命名法.
很多病毒都会利用这个地方,当你运行正常程序时,实际运行的却是病毒.
可能你会发现你的注册表中有一些后缀为dll或其他的项, 这些是可以删除的,不删也没关系,但如果它下面有名为Debugger的键并且值为一可执行文件路径时,就要引起注意了.
当然你也可以反过来劫持病毒,方法是一样的.
当Debugger指定的路径值不存在时,将出现错误. 比如我把刚才的notepad.exe改成c:\\abc\\abc.exe

如果打开目录C:\\Program Files\\Internet Explorer直接运行IEXPLORE.EXE则出现下面结果:

三.自动播放
提到自动播放,不得不说的一个文件就是autorun.inf,通常它具有隐藏属性,同时它也是一个配制文件.
autorun.inf是windows下操纵光盘等行为的一个文件,需要放在根目录下,部分操作对于硬盘,U盘也适用.
比如插入杀毒软件的安装光盘,系统将自动运行它的安装程序,这给我们带来了不少方便,但也给病毒的传播带来了方便.
所谓的U盘病毒就是利用这个文件来传播的病毒,如果你开启了自动播放功能,则当你双击U盘的时候,病毒就运行了.对于硬盘也是一样的.有时病毒清理完毕后,双击硬盘却打不开了,原因是病毒不存在了,而autorun.inf这个文件仍然存在...
这个文件的一般内容如下:
复制内容到剪贴板
代码:
[autorun]
open=progict1.exe
shell\\open=打开(&O)
shell\\open\\Command=progict1.exe
shell\\open\\Default=1
shell\\explore=资源管理器(&X)
shell\\explore\\Command=progict1.exe
open=progict1.exe
如果存在progict1.exe这个文件,当你双击盘符时,就会自动运行这个文件,等号后面可以是完整的文件路径
shell\\open=打开(&O)
shell\\open\\Command=progict1.exe
第一行,将使右键出现一个打开命令,第二行当你选择打开时,实际执行的是progict1.exe这个文件
shell\\explore=资源管理器(&X)
shell\\explore\\Command=progict1.exe
情况类似于上面的,因此用右键打开磁盘也并不一定是安全的.

中毒后正确的做法有:
1,在我的电脑地址栏中输入路径,如C:\\
2,单击文件夹图标,从左边树型目录打开.
3,从开始菜单启动资源管理器,从左边树型目录打开
4,利用第三方工具,如winRAR,还是用地址栏.

一般情况,中毒后,先按上述方法找到autorun.inf,用记事本打开它,查看其指向的文件是什么,删除autorun.inf和它所指向的文件,一般来说,其指向的文件和autorun.inf一样也在磁盘根目录,但有时并不一定,也可能在系统目录等.

一般建议关闭自动播放功能:
开始,运行,输入gpedit.msc,打开组策略
计算机配制,管理模板,系统
在右边找到期"关闭自动播放",双击它,改为已启用,并选择所有驱动器,确定.

新增动作:
1,复制自身到系统目录
2,开机自动运行
3,映像劫持某些程序

修正:只允许一个实例运行

解决方法

1,结束进程,其他参照第2课和第4课的内容.

2,删除HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run下名为"演示程序"的键.

3,删除如下映像劫持项目(不带单引号): \'360Safe.exe\',\'360tray.exe\',\'avp.exe\',\'CCenter.exe\',\'qq.exe\',\'regedit.exe\',\'msconfig.exe\',\'notepad.exe\',\'cmd.exe\',\'nod32.exe\'

4,删除文件:%systemroot%/system32/anti3.exe

注1:真正的病毒可能会添加到多处可自启动的地方,劫持绝大部分安全软件和系统工具等.
注2:由于劫持了注册表,运行演示程序后注册表将打不开,请按上面说的办法解决.(到%systemroot%目录下找到regedit.exe,将其重命名后即可运行)

注3:可能对某些人有用:
360rpt.exe,360Safe.exe,360tray.exe,adam.exe,AgentSvr.exe,AppSvc32.exe,AST.exe,autoruns.exe,avgrssvc.exe,AvMonitor.exe,avp.com,avp.exe,CCenter.exe,ccSvcHst.exe,FileDsty.exe,HijackThis.exe,FTCleanerShell.exe,IceSword.exe,iparmo.exe,Iparmor.exe,isPwdSvc.exe,kabaload.exe,KaScrScn.SCR,KASMain.exe,KASTask.exe,KAV32.exe,KAVDX.exe,KAVPFW.exe,KAVSetup.exe,KISLnchr.exe,KAVStart.exe,KMailMon.exe,KMFilter.exe,KPFW32.exe,KPFW32X.exe,KPFWSvc.exe,KRegEx.exe,krepair.COM,KsLoader.exe,KVCenter.kxp,KvDetect.exe,KvfwMcl.exe,KVMonXP.kxp,KVMonXP_1.kxp,kvol.exe,kvolself.exe,KvReport.kxp,KVScan.kxp,KVSrvXP.exe,KVStub.kxp,kvupload.exe,kvwsc.exe,KvXP_1.kxp,KvXP.kxp,KWatch9x.exe,KWatch.exe,KWatchX.exe,loaddll.exe,MagicSet.exe,mcconsol.exe,mmqczj.exe,mmsk.exe,NAVSetup.exe,PFW.exe,PFWLiveUpdate.exe,QHSET.exe,Ras.exe,Rav.exe,RavMon.exe,RavMonD.exe,SysSafe.exe,TrojanDetector.exe,symlcsvc.exe,SREng.exe,SmartUp.exe,shcfg32.exe,scan32.exe,safelive.exe,runiep.exe,Rsaupd.exe,RsAgent.exe,rfwsrv.exe,RfwMain.exe,rfwcfg.exe,RegClean.exe,rfwProxy.exe,RavTask.exe,RavStub.exe,Trojanwall.exe,TrojDie.kxp,UIHost.exe,UmxAgent.exe,UmxAttachment.exe,UmxCfg.exe,UmxFwHlp.exe,UmxPol.exe,UpLive.EXE.exe,WoptiClean.exe,zxsweep.exe,regedit.exe,msconfig.exe,mmc.exe,taskmgr.exe