系统安全之Windows启动安全隐患详解(2)
2008-02-23 07:06:17来源:互联网 阅读 ()
可启动文件后为:
|
上述的两种启动方式往往会被木马或一些恶作剧程序(如,妖之吻)利用而导致系统的不正常。由于一般用户很少会关心这两个文件,甚至有的用户根本不知道这些文件是做什么用的,所以隐蔽性很好。但用户可以使用msconfig命令,在打开的“系统配置”对话框中的“启动”标签中查看得到。
注意:与Win.ini文件不同的是,System.ini的启动只能启动一个指定文件,不要把Shell=Explorer.exe file.exe换为Shell=file.exe,这样会使Windows瘫痪!
3.Wininit.ini启动
Wininit.ini文件也许很多人不知道,一般的操作中用户也很少能直接和这个文件接触。但如果你编写过卸载程序的话,也许你会知道这个文件。
Wininit即为Windows Setup Initialization Utility。翻译成中文就是Windows安装初始化工具。这么说也许不明白,但如果看到如下提示信息:
|
大家也许就都知道了!这个就是Wininit.ini在起作用!
由于在Windows下,许多的可执行文件和驱动文件是被执行到内存中都是受到系统保护的。所以在Windows的正常状态下更改这些文件就成了问题,因此出现了Wininit.ini这个文件来帮助系统做这件事情。它会在系统装载Windows之前让系统执行一些命令,包括复制、删除、重命名等,以完成更新文件的目的。但在一般情况下我们在C:\Windows目录下是找不到这个文件的,原因就是Wininit.ini在每次被系统执行完它其中的命令时就会被系统自动删除,直到再次出现新的Wininit.ini文件之后再被删除。其文件格式为:
|
上面的语句行中,file1=file2的意思是把file2文件复制为文件名为file1的文件,相当于覆盖file1文件,之后再把原来的file2文件删除。
这样启动时,Windows就实现了用file2更新file1的目的;如果file1不存在,实际结果是将file2复制并改名为file1;如果要删除文件,则可使用如下命令:
|
这也就是说把file2变为空,即删除的意思。
以上文件名都必须包含完整路径。
注意:由于Wininit.ini处理的文件是在Windows启动以前处理的,所以不支持长文件名;以上的文件复制、删除、重命名等均是不提示用户的情况下执行的。有些病毒也会利用这个文件对系统进行破坏,所以用户如果发现系统无故出现:
|
那么也许系统就有问题了。
4.Winstart.bat启动
这是一个系统自启动的批处理文件,主要作用是处理一些需要复制、删除的任务。比如有些软件会在安装或卸载完之后要求重新启动,就可以利用这个批处理复制和删除一些文件来达到完成任务的目的。如:
|
这里是执行Proc.bat文件的命令;
|
