毕业论文论文范文课程设计实践报告法律论文英语论文教学论文医学论文农学论文艺术论文行政论文管理论文计算机安全
您现在的位置: 毕业论文 >> 计算机安全 >> 正文

病毒的自启动方式

更新时间:2009-12-27:  来源:毕业论文
病毒的自启动方式
1.
通过修改注册表自启动项,在以下注册表键项上新建字符串,实现随开机自启动项一起启动的目的:
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
这是最原始的方式,被绝大部分病毒采用。但是这种方式没有什么创意,还容易暴露病毒程序,因此有点技术含量的病毒不会采用这种方式,比如磁碟机病毒几乎完全淘汰了这种启动方式!
2.
通过修改帐户的程序菜单,在如下位置写入病毒程序或病毒的快捷方式:
C:\Documents and Settings\All Users\「开始」菜单\程序\启动
典型病毒为smss.exe、Lsass.exe病毒,这种方式倒是有点意思!
3.
通过系统自动播放功能启动,在autorun.inf文件中写入病毒代码,如下所示为auto.exe病毒的autorun文件:
[AutoRun]
shell\open=打开(&O)
shell\open\Command=auto.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\command=auto.exe
双击打开磁盘分区或移动存储设备时,病毒(如auto.exe)被立即激活!
auto.exe一般不会单兵作战,还有一个帮凶explore病毒,这个病毒程序全名是explore.exe,在windows目录或system32目录下,或者名为explorer.exe,在system32目录下,大小为3~4Kb,启动方式是第一种。Explore与auto病毒狼狈为奸、相互勾结,处理起来稍有麻烦。
4.
伪装成系统驱动文件,把病毒文件复制到system32目录下的drivers子目录里面里面,跟随系统启动。
比如时下流行的HBService32 system.exe病毒,侵入系统后就在drivers目录下植入HBService32.sys等病毒文件,跟随系统启动后,无法查看病毒的进程,注册表自启动键项被加入病毒system.exe的启动项,而且注册表被病毒控制无法修改并保存设置,用一般方法很难对付!
5.
在注册表HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows 键项
右边窗口添加load 字符串,数值数据为 病毒程序。
比如,load %windows%svchost.exe (autorun.inf病毒,copy.exe host.exe病毒)
6.
在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows 键项
右边窗口的AppInit_DLLs字符串里面添加病毒的.dll文件,实现自动启动。
比如蝗虫军团病毒。
7.
在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\ShellExecuteHooks键项
右边添加病毒的dll文件,不过是二进制的字符串值,比如:{AEB6717E-7E19-11d0-97EE-00C04FD91972},从文件名无法判断是什么类型的文件,因此在注册表里面搜索这些病毒的dll文件时,查不到。
例如蝗虫军团病毒。
8.
以windows任务计划的方式启动。
病毒在C:\WINDOWS\Tasks 目录下建立任务计划,实现开机自动启动或在指定的时间段自动发作;
9.
病毒程序直接进驻磁盘分区的虚拟页面交换文件中,如pagefile.sys、hiberfil.sys;(还有System Volume Information目录和磁盘引导区等也是病毒藏身的地方。)系统启动后,当物理内存与虚拟页面文件之间交换数据时,病毒立即混入内存并激活(是我的个人观点,经过反复试验也没有找到直接证据),这种病毒激活后会很快夺取系统权限,从而受到系统的严密保护,死活不让用户包括超级管理员帐户终止病毒的进程!即使终止成功了,也会导致系统立即重启;重启后,发现占领系统制高点的不是用户,也不是杀毒软件,而是病毒!
此类病毒最难缠,很多中招的电脑用户把电脑硬盘全部格式化以后,还是未能解决这种病毒。
典型病毒是磁碟机病毒Worm.Win32.DiskGen,这种病毒可能还会从磁盘引导区随系统启动(比较复杂,不能确定,硬盘引导区的数据看上去全是乱码,直接看不懂!只是觉得中毒后引导区的数据多了不少)。
目前越来越多的病毒采用多种方式自启动,以确保自己在系统启动时不至于缺席或迟到!跟操作系统和硬件一样,病毒一直在努力,不断更新换代,肯定还会有一些新技术被病毒发现并利用,与病毒的这场战争,不会有最终的胜利者!
病毒的自启动方式下载如图片无法显示或论文不完整,请联系qq752018766
设为首页 | 联系站长 | 友情链接 | 网站地图 |

copyright©751com.cn 辣文论文网 严禁转载
如果本毕业论文网损害了您的利益或者侵犯了您的权利,请及时联系,我们一定会及时改正。