写这个东西的主要原因是今天晚上睡不着,还有就是好像很久没有写的东西出来了,这样下去不行呀
耗时比较长,参考的文献多,写作比较累,所以请转载请注意说明原创地址
-Wsyscheck(使用说明)
这是一篇写给才接触电脑不久的人的,算不上什么新的技术,顶多算一个软件使用说明和网络资料整理吧。
废话比较多,主要是为了适合每一个初学者和那些懒人。涉及面比较广,难免有疏忽的地方,还请大家指正。
BTW:完全没考虑本片文章的实用价值,仅是对我个人比较了解的东西的一个总结。
想到哪里,写到哪里,
进程:(1)
对应用程序来说,进程就像一个大容器。在应用程序被运行后,就相当于将应用程序装进容器里了,你可以往容器里加其他东西(如:应用程序在运行时所需的变量数据、需要引用的DLL文件等),当应用程序被运行两次时,容器里的东西并不会被倒掉,系统会找一个新的进程容器来容纳它。
计算机病毒:(2)
计算机病毒(Computer Virus)在《中华人民共和国计算机信息系统安全保护条例》中被明确定义,
病毒“指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。
PS:在本片文章里,我把病毒和木马,混成一个东西,所以不要和我讨论病毒和木马的区别!
有了对进程和计算机病毒的基本了解,我们知道了,所谓的病毒,其实有就是一段对计算机使用者有危害的程序
我们是怎么得到这些可恶的东西的呢?(这里是说病毒传播)
[code]主动:我们自己去下载或者通过“Ctrl+c和Ctrl+V”这样类似的动作,得到一些程序里面包含病毒或者其本身就是病毒,然后我们在运行他们。
被动:因为程序设计上的不足让计算机执行了一些程序,常见比如:IE漏洞,ipc$入侵、0day入侵[/code]
后又有大大提出了死病毒和活病毒的概念,这个没有找到“官方”的解释。我的解释(不对请指出)是:
[code]死病毒:不能实现在计算机运行中,运行病毒,包括配置启动和误启动。
活病毒:和死病毒正好相反。[/code]
上面提到了病毒的自动启动,那WIN系统为什么要让程序自动启动呢?,原因我就不说了,自己去找(自己想也可以),下面只是说明计算机的程序的启动方式(3、4)
【配置启动】
通过在计算机加入一些信息实现自身的启动
1、通过"开始\程序\启动"
[quote]查看方法:点击开始=》所有程序=》启动。就能够查看了,实际目录“%ALLUSERSPROFILE%\「开始」菜单\程序\启动”和“%HOMEPATH%\「开始」菜单\程序”
注意:在开始菜单的“启动”文件夹是可更改的,如果用户更改了启动文件夹的位置,注册表的键值均会改变为相应的名称。[/quote]
2、通过Win.ini文件(这个在XP中还没遇到过这样的)
[quote]该文件中的[Windows]域中的load和run项会在Windows启动时运行,文件路径“%windir%\Win.ini”
启动位置(file.exe为要启动的文件名称):
[windows]
load=file.exe
run=file.exe
注意:load=与run=的区别在于:通过load=运行文件,文件会在后台运行(最小化);而通过run=来运行,则文件是在默认状态下被运行的。[/quote]
3、SYSTEM.INI启动:
[quote]启动位置(file.exe为要启动的文件名称):
默认为:
[boot]
Shell=Explorer.exe
可启动文件后为:
[boot]
Shell=Explorer.exe file.exe
说明:
笔者记得在诺顿先生(就是开发出Norton系列软件的人)写的一本书里面曾经说过,1、2这两个文件的有无对系统没有什么影响,但由于时间的关系,笔者没有来得及试验,有兴趣者可以试一试。
注意:
(1).和WIN.INI文件不同的是,SYSTEM.INI的启动只能启动一个指定文件,不要把Shell=Explorer.exe file.exe换为Shell=file.exe,这样会使Windows瘫痪!
(2).这种启动方式提前于注册表启动,所以,如果想限制注册表中的文件的启动,可是使用这种方法。[/quote]
4、WININIT.INI启动:
[quote]Wininit.ini这个文件也许很多人不知道,一般的操作中用户也很少能直接和这个文件接触。但如果你编写过卸载程序的话,也许你会知道这个文件。
WinInit即为Windows Setup Initialization Utility。翻译成中文就是Windows安装初始化工具。这么说也许不明白,如果看到如下提示信息:
Please wait while Setup updates your configuration files.
This may take a few minutes…
大家也许就都知道了!这个就是Wininit.ini在起作用!
由于在Windows下,许多的可执行文件和驱动文件是被执行到内存中受到系统保护的。所以在Windows的正常状态下更改这些文件就成了问题,因此出现了Wininit.ini这个文件来帮助系统做这件事情。它会在系统装载Windows之前让系统执行一些命令,包括复制,删除,重命名等,以完成更新文件的目的。Wininit.ini文件存在于Windows目录下,但在一般时候我们在C:Windows目录下找不到这个文件,只能找到它的exe程序Wininit.exe。原因就是Wininit.ini在每次被系统执行完它其中的命令时就会被系统自动删除,直到再次出现新的Wininit.ini文件……之后再被删除。
文件格式:
[rename]
file1=file2
file1=file2的意思是把file2文件复制为文件名为file1的文件,相当于覆盖file1文件。
这样启动时,Windows就实现了用file2更新file1的目的;如果file1不存在,实际结果是将file2复制并改名为file1;如果要删除文件,则可使用如下命令:
[rename]
nul=file2
这也就是说把file2变为空,即删除的意思。
以上文件名都必须包含完整路径。
注意:
1.由于Wininit.ini文件处理的文件是在Windows启动以前处理的,所以不支持长文件名。
2.以上的文件复制、删除、重命名等均是不提示用户的情况下执行的。有些病毒也会利用这个文件对系统进行破坏,所以用户如果发现系统无故出现:
Please wait while Setup updates your configuration files.
This may take a few minutes…
那么也许系统就有问题了。
3. 在Windows 95 Resource Kit中提到过Wininit.ini文件有三个可能的段,但只叙述了[rename]段的用法。
4.WINSTART.BAT启动:
这是一个系统自启动的批处理文件,主要作用是处理一些需要复制、删除的任务。譬如有些软件会在安装或卸载完之后要求重新启动,就可以利用这个复制和删除一些文件来达到完成任务的目的。如:
“@if exist C:WINDOWSTEMPPROC.BAT call C:WINDOWS\TEMP\PROC.BAT”
这里是执行PROC.BAT文件的命令;
“call file”[/quote]
3、通过注册表启动
[quote]HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit
HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows\load
BTW:上面的这些注册表项目一般可以在msconfig中看到。[/quote]
4、at命令启动
在命令行里面输入“at ?”就明白了,这就是传说中的计划任务。
【误启动】
通过欺骗用户或者利用计算机程序(别以为WINXP是什么高深的东西,其实就是推打包后有500多MB的程序)自身设计上的不足的实现自身的启动。
[quote]1、映像劫持
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
2、修改文件关联
3、在磁盘的根目录下面建立autorun.inf文件[/quote]
总结:
要达到启动一个文件的方式实在是太多,花了两个小时,才把这些常用的总结完,还有很多其他的,一时没有总结到,还希望大家一起来提供。
以上这些就是病毒在计算机中方式,当然还有一个就是你双击启动了一个病毒^_^。一个病毒是否生效就在于其有没有运行。但现在的程序太多了,没有人能单纯的从进程名称上面识别所有的程序!
重点来了!
【如何判断一个进程是否为病毒】 我们要借助一些工具,在这里我不推荐WIN系统自带的“任务管理器”,这东西实在是不怎么强大,对“正常”的程序还有点作用,但是特殊处理过的一些程序就不行了!
在这里我特别的向大家推荐一款我自认为不错的工具“Wsyscheck”!
它会向我们提供进程的一些关键性息,他只识别微软自带的程序,这些程序都带有文件签名(5)的
参考文献:
(1)http://baike.baidu.com/view/19746.htm(进程)
(2)http://baike.baidu.com/view/5339.htm(计算机病毒)
(3)http://tb.blog.csdn.net/TrackBack.aspx?PostId=59444(病毒启动方式)
(4)http://support.microsoft.com/support/kb/articles/Q232/5/09.ASP(注册表启动)
(5)http://baike.baidu.com/view/1365311.htm(文件签名)
最新评论