http://myfsx.blog.hexun.com/9652344_d.html
WINDOWS 98/ME篇
對于WINDOWS2000以前的WINDOWS版本,木馬基本上采用的是讓WINDOWS系統(tǒng)啟動時自動加載應用程序的方法���,其中包括win.ini��、systen.ini和注冊表等。所以我們的目標就瞄準這里��。
在win.ini文件中,[WINDOWS]
下面“run=”和“load=”行是WINDOWS啟動時要自動加載運行的程序項目���,我們打開win.ini���,在[WINDOWS]字段中有啟動命令
“run=”和“load=”,在正常情況下等號后面應該是空白的���,不會加載任何程序的。如果檢查時���,發(fā)現(xiàn)累世以下信息��,就要引起注意了:
run=c:\windows\sixvee.exe
load=c:\windows\sixvee.exe
另外,WINDOWS安裝目錄下的system.ini也是木馬喜歡藏身的地方�,打開這個文件夾�,在該文件的[boot]字段中����,正常情況下有一個
shell=Explorer.exe項(后面不會跟任何程序),如果你看到的是shell=Explorer.exe
sixvee.exe�,那么就肯定你中木馬了�。后面的sixvee.exe就是木馬程序?��,F(xiàn)在還有些木馬還將explorer.exe文件與其他進程捆綁
成一個文件���,在這里是看不出破綻的,更增加了木馬的隱蔽性�����。
另外還有幾處地方需要大家注意�,它們分別是system.ini中的{386Enh}字段中要注意檢查"driver=路徑/程序
名",system.ini中的{mic}���、{drivers32}字段�����,這些字段是起加載驅動程序的作用,往往也是木馬喜歡安家的地方����。
提示:
對于WINDOWS
98/ME中的木馬�����,它們如果不能自動運行���,那么就不存在威脅了。禁止方法如下:“開始——運行——輸入msconfig”確定后進入“系統(tǒng)配置實用程序
”的“win.ini”或者“system.ini”選項單��,將查出的自動木馬�,名稱前的鉤取消掉即可。
標簽:
小技巧 
