下面我们来看看病毒是如何利用注册表的。一般,病毒会利用注册表来得到系统的基本信息,例如操作系统类型、系统安装的服务程序、IE、OutLook等应用软件的版本信息等等。这主要是为了探测系统及软件本身的漏洞然后加以利用。更主要的,病毒是想通过注册表实现黑客程序一样的目的——开机自启,常驻内存。只有这样,病毒才能感染其他机器和文件,才有机会进行“破坏”。
打开注册表编辑器,我们找到:
| HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值; HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值; HKEY_USERS\.Default\Software\ Microsoft\Windows\CurrentVersion下所有以“run”开头的键值。 |
大部分病毒都会悄悄的在上述三个位置安家。这时我们只需要删除相应的键值再删除掉病毒程序就可以了。
此外,病毒还可以把自己注册为系统服务来达到更为隐蔽的开机自启的目的。其基本原理是利用在WIN2K中,“启动类型”设置为“自动”的服务,启动时系统就会自动运行,所以,病毒只需将自身添加到系统服务中,并将“启动类型”设置为“自动”就可以每次启动系统时都自动运行病毒程序。其在注册表中的位置如下:
| [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ ServiceName\Parameters] “Application”= “C:\\winnt\\system32\\ ServiceName.exe |
其中:ServiceName就是病毒名。
不过病毒将自身注册为系统的“服务”程序还有一个缺点,就是在“系统配置实用程序”(在“开始→运行”中执行“Msconfig”)的“启动”项和“服务”项中可以看得到。那么有没有比这更隐蔽的方法呢?答案是肯定的。在“开始→运行”中执行“Gpedit.msc”。 打开“组策略”,可看到“本地计算机策略”中有两个选项:“计算机配置”与“用户配置”,展开“用户配置→管理模板→系统→登录”,双击“在用户登录时运行这些程序”子项进行属性设置,选定“设置”项中的“已启用”项并单击“显示”按钮弹出“显示内容”窗口,再单击“添加”按钮,在“添加项目”窗口内的文本框中输入要自启动的程序的路径,单击“确定”按钮就完成了。如图3所示:
图3
