IT貓撲網(wǎng):您身邊最放心的安全下載站! 最新更新|軟件分類|軟件專題|手機(jī)版|論壇轉(zhuǎn)貼|軟件發(fā)布

您當(dāng)前所在位置: 首頁網(wǎng)絡(luò)安全病毒防治 → 一招搞定幾萬種木馬----→ 注冊(cè)表權(quán)限設(shè)置

一招搞定幾萬種木馬----→ 注冊(cè)表權(quán)限設(shè)置

時(shí)間:2015-06-28 00:00:00 來源:IT貓撲網(wǎng) 作者:網(wǎng)管聯(lián)盟 我要評(píng)論(0)

作者:享受挫折
日期:2007.7.22??
操作系統(tǒng):Windows XP

提醒權(quán)限設(shè)置之前請(qǐng)務(wù)必確保你的系統(tǒng)非常干凈,沒有問題

1、文件關(guān)聯(lián)
? ???正常情況下,系統(tǒng)最重要的擴(kuò)展名:EXE 、COM 、PIF 、BAT 、SCR 、TXT 、INI 、INF 、CHM ,它們的值(打開方式)是不變的。而很多病毒木馬會(huì)修改它們的打開方式,這樣可以達(dá)到病毒木馬程序跟隨您打開的那種文件類型一起啟動(dòng),而你根本不會(huì)知道。現(xiàn)在有很多工具可以查看這些擴(kuò)展名是否被修改,如下圖,這是 SRENG 程序顯示的文件關(guān)聯(lián),當(dāng)我們發(fā)現(xiàn)某一擴(kuò)展名的狀態(tài)是錯(cuò)誤的時(shí)候,我們可以直接勾選上它,然后修復(fù)。
? ??? 當(dāng)我們發(fā)現(xiàn)的時(shí)候可能已經(jīng)遲了。舉個(gè)例子,exe文件的打開方式是 "%1"%* 。如果被修改成trogan.exe??"%1"%*, 那么你每次運(yùn)行程序的時(shí)候,這個(gè)trogan.exe就會(huì)被執(zhí)行。我們?cè)谑褂冒踩o助軟件(比如說sreng)清除病毒的時(shí)候經(jīng)常會(huì)建議朋友

QUOTE:
當(dāng)sreng.exe不能打開,請(qǐng)將它修改為dgs.com;仍然打不開,請(qǐng)修改為dss.pif;仍然打不開,請(qǐng)修改為fwa.bat;還不行嗎,那請(qǐng)你修改為daews.scr;還不行......
難道這么多擴(kuò)展名的打開方式都被修改了嗎..靠!

下面就有非常好的方法,不讓病毒修改這些擴(kuò)展名 --------→ Regedit 權(quán)限

步驟:
1、開始 → 運(yùn)行 → regedit

regedit.JPG (11.74 KB)
2007-7-22 14:10
?


2、定位到 HKEY_CLASSES_ROOT\.exe,右擊,點(diǎn)擊 "權(quán)限"。
?


3、對(duì)權(quán)限進(jìn)行設(shè)置,如下圖:
?

完成后確定。

對(duì)下面的主鍵依次第2步和第3步操作

HKEY_CLASSES_ROOT\.exe
HKEY_CLASSES_ROOT\exefile

HKEY_CLASSES_ROOT\.txt
HKEY_CLASSES_ROOT\txtfile

HKEY_CLASSES_ROOT\.com
HKEY_CLASSES_ROOT\comfile

HKEY_CLASSES_ROOT\.reg
HKEY_CLASSES_ROOT\regfile

HKEY_CLASSES_ROOT\.bat
HKEY_CLASSES_ROOT\batfile

HKEY_CLASSES_ROOT\.scr
HKEY_CLASSES_ROOT\scrfile

HKEY_CLASSES_ROOT\.ini
HKEY_CLASSES_ROOT\.inifile

HKEY_CLASSES_ROOT\.inf
HKEY_CLASSES_ROOT\.infile

關(guān)于文件關(guān)聯(lián)部分設(shè)置結(jié)束。

本人小心得:如果上面這些權(quán)限您不設(shè)置,我建議你重新注冊(cè)一個(gè)擴(kuò)展名,它的效果和EXE格式一樣,如下我自己設(shè)置了一個(gè)AXA擴(kuò)展名

注:〖1、將下面代碼axa換成任意字母組合都可以,把a(bǔ)xa替換成你想要的擴(kuò)展名〗
? ?? ? 〖2、復(fù)制到記事本后,最后一行尾必須換行〗
?
[Copy to clipboard] [ - ]
CODE:
REGEDIT4
[HKEY_CLASSES_ROOT\.axa]
@="axafile"
"Content Type"="application/x-msdownload"
[HKEY_CLASSES_ROOT\.axa\PersistentHandler]
@="{098f2470-bae0-11cd-b579-08002b30bfeb}"
[HKEY_CLASSES_ROOT\axafile]
@="應(yīng)用程序"
"EditFlags"=hex:38,07,00,00
"TileInfo"="prop:FileDescription;Company;FileVersion"
"InfoTip"="prop:FileDescription;Company;FileVersion;Create;Size"
[HKEY_CLASSES_ROOT\axafile\DefaultIcon]
@="%1"
[HKEY_CLASSES_ROOT\axafile\shell]
[HKEY_CLASSES_ROOT\axafile\shell\open]
"EditFlags"=hex:00,00,00,00
[HKEY_CLASSES_ROOT\axafile\shell\open\command]
@="\"%1\" %*"
[HKEY_CLASSES_ROOT\axafile\shell\runas]
[HKEY_CLASSES_ROOT\axafile\shell\runas\command]
@="\"%1\" %*"
[HKEY_CLASSES_ROOT\axafile\shellex]
[HKEY_CLASSES_ROOT\axafile\shellex\DropHandler]
@="{86C86720-42A0-1069-A2E8-08002B30309D}"
[HKEY_CLASSES_ROOT\axafile\shellex\PropertySheetHandlers]
[HKEY_CLASSES_ROOT\axafile\shellex\PropertySheetHandlers\PifProps]
@="{86F19A00-42A0-1069-A2E9-08002B30309D}"
[HKEY_CLASSES_ROOT\axafile\shellex\PropertySheetHandlers\ShimLayer Property Page]
@="{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}"
[HKEY_CLASSES_ROOT\axafile\shellex\PropertySheetHandlers\{B41DB860-8EE4-11D2-9906-E49FADC173CA}]
@=""

將上面代碼保存為reg文件,導(dǎo)入注冊(cè)表后,你將某SRENG程序擴(kuò)展名修改為AXA,可以啟動(dòng),這樣病毒木馬修改了所有重要的擴(kuò)展名,它也不可能想到AXA,要是你問,它想到怎么辦..........哎,再想辦法吧。

--------------------------------------------------
2、AppInit_DLLs??-----→ 一個(gè)未知的系統(tǒng)啟動(dòng)項(xiàng)正在被修改

? ?? ? 論壇中有很多人發(fā)這樣的帖子。Appinit_dlls 被修改,一個(gè)未知的系統(tǒng)啟動(dòng)項(xiàng)被修改。


使用sreng查看啟動(dòng)項(xiàng)發(fā)現(xiàn)appinit_dlls.



? ?? ? 關(guān)于Appinit_dlls的官方解釋: 文章編號(hào):197571 使用 AppInit_DLLs 注冊(cè)表值 ,從widows知識(shí)庫文章中看出windows XP系統(tǒng)基本不需要使用Appinit_dlls, 但很多病毒木馬仍玩這技術(shù),汗!

? ?? ? Appinit_dlls 在注冊(cè)表中的位置:

? ?? ? HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
? ?? ?
正常情況下,下面沒有Appinit_dlls 鍵名,如果你發(fā)現(xiàn)有的話那肯定是有問題的。
? ?? ?
? ?? ? 同樣,使用上面權(quán)限設(shè)置的方法將 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows 設(shè)置下。

-------------------------------------

3、Explorer瀏覽器.. 部分參考電腦愛好者<我比較喜歡的雜志>

? ?? ?我們經(jīng)常會(huì)在網(wǎng)上看到關(guān)于介紹Firefo

關(guān)鍵詞標(biāo)簽:木馬,注冊(cè)表

相關(guān)閱讀 Windows Server2003 防木馬權(quán)限設(shè)置IIS服務(wù)器安全配置整理 我的世界藥水怎么合成-藥水合成表圖解析 常見的木馬所有隱藏啟動(dòng)方式 Windows 2003 防木馬、硬盤安全設(shè)置功略 巧妙從進(jìn)程中判斷出病毒和木馬 教你在Windows安全模式下查殺病毒木馬

文章評(píng)論
發(fā)表評(píng)論

熱門文章 發(fā)Rootkit.Ads.i 和Trojan.DL.Mach.c病毒如何清除 發(fā)Rootkit.Ads.i 和Trojan.DL.Mach.c病毒如何清除 殺毒36計(jì)之手動(dòng)清除PcShare木馬_PcShare木馬清除方法 殺毒36計(jì)之手動(dòng)清除PcShare木馬_PcShare木馬清除方法 注冊(cè)表被修改的原因及解決辦法 注冊(cè)表被修改的原因及解決辦法 卡巴斯基2017/2016破解版_kaspersky卡巴斯基2015/2014/2013/2012/2011/2010激活碼/授權(quán)許可文件Key 卡巴斯基2017/2016破解版_kaspersky卡巴斯基2015/2014/2013/2012/2011/2010激活碼/授權(quán)許可文件Key

相關(guān)下載

人氣排行 卡巴斯基2017激活教程_卡巴斯基2017用授權(quán)文件KEY激活的方法(完美激活) 解決alexa.exe自動(dòng)彈出網(wǎng)頁病毒 卡巴斯基2017破解版_Kaspersky卡巴斯基2017激活碼/授權(quán)許可文件Key comine.exe 病毒清除方法 ekrn.exe占用CPU 100%的解決方案 木馬下載者Trojan-Downloader.Win32.FakeFolder.c手工清除解決方案 發(fā)Rootkit.Ads.i 和Trojan.DL.Mach.c病毒如何清除 一招搞定幾萬種木馬----→ 注冊(cè)表權(quán)限設(shè)置