首页 > > 服务器技术 > 安全防护 >

系统安全之Windows启动安全隐患详解(3)

2008-02-23 07:06:17来源：互联网阅读 ()

“call filename.exe > nul”

这里是去除任何在屏幕上的输出。

5．Autoexec.bat启动

Autoexec.bat应该是用户再熟悉不过的系统文件了。每次重新启动系统时在DOS下启动。恶意的程序往往会利用这个文件做一些辅助的措施。

不过，在Autoexec.bat文件中会包含有恶意代码。如format c: /y等；由于BAT恶意程序的存在，这个机会大大地增加了。比如最近很流行的SirCam蠕虫也就是利用了Autoexec.bat文件。

三、注册表启动

1.常规启动

在下面的注册表项中，\%path%\表示任意路径，file.exe表示需要运行的程序。

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]

"Anything"="\%path%\file.exe"



[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]

"Anything"="\%path%\file.exe" 



[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

?"Anything"="\%path%\file.exe" 



[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce] 

?"Anything"="\%path%\file.exe" 



[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

????"Whatever"="c:\runfolder\program.exe" 



[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]

????"Whatever"="c:\runfolder\program.exe"

注意：

（1）解除这里相应的自启动项只需删除该键值即可，但注意不要删除如SystemTray、ScanRegistry等这样的系统键值。

（2）如果只想不启动而保留键值，只需在该键值加入rem即可。如：“rem C:\Windows\a.exe”。

（3）在注册表中的自启动项中没有这两项：

[HKEY_LOCAL_MACHINE \Software\Microsoft\Windows\CurrentVersion\RunServices]、

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices]

关于：

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx]

有特殊的语法。例如，运行Notepad.exe：

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx]

"Title"="My Setup Title"



"Flag"=dword:00000002



HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx\0001

"RunMyApp"="||notepad.exe"

语法为：

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx



Flags = 0x0000000



Title = "Status Dialog Box Title"



HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx\Depend



0001 = "xxx1"



000X = "xxxx"



HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx\0001



Entry1 = "MyApp1.exe"



EntryX = "MyApp2.exe"



HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx\000x



…

上面的例子中，“xxx1，xxxx”是一个动态链接库（DLL）或.OCX文件名（如My.ocx或My.dll）；“0001，000x”是部分名字。可以是数字和文字；“entry1，entryX”是指向一个要运行的程序文件的注册表串值。

下表给出键值的说明，Flags是一个定位在RunOnceEx键用来激活/禁止的DWORD值，具体如下：

2．特殊启动

在注册表中除了上述的普通启动方式以外，还可以利用一些特殊的方式达到启动的目的：

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有