怎么没名字可以用 - 2007-7-23 17:56:00
我前几天找到个病毒 是用服务 启动的 然后我看了指向的可执行文件居然是WINDOWS下的
一个隐藏的system.txt文件!!!!!(后缀完全显示了 就是txt 不是exe).
那么这个服务对应的文件是怎样执行的呢? 大家不要回答说本身就是exe,因为即使本身是exe但因为添加的是txt所以 计算机就会用记事本打开了 而不会选择 直接执行
请高手给予详解!!!!!!!!!!!!!!!
怎么没名字可以用 - 2007-7-24 20:31:00
newcenturymoon - 2007-7-24 20:37:00
windows处理文件的机制 并非是按照 扩展名处理的 是按照文件头处理的 那个txt虽然看上去是文本文件 但实际上应该是 exe文件
这样的事情不足为奇 比如江民杀毒软件的进程一般为 kxp 可他照样象exe那样运行 因为他的文件头本身还是exe文件
Enao2005 - 2007-7-24 20:38:00
系统在执行PE文件时,不是依照其后缀名来执行的,而是通过读取PE结构来判断是什么文件和该怎么执行,system.txt其实是system.exe
两个铁球 - 2007-7-24 20:41:00
回帖删去:因没仔细看清搂主说什么,回的不对马嘴。
汗!
轩辕小聪 - 2007-7-24 20:47:00
如果你直接双击system.txt,你会看到的确是直接用记事本来打开的。这种情况下,系统根据txt文件的文件关联,实际执行的命令行参数是"notepad.exe C:\WINDOWS\system.txt",也就是运行记事本程序,并把system.txt的路径当成参数传递给它。
而对于服务执行来说,ImagePath的内容,就是让系统直接执行的命令行参数,所以系统启动服务时,不会先检测对应文件的文件关联,而是直接把文件当成可执行程序载入。
而当把文件当成可执行程序载入时,就如楼上两位所说:系统执行此文件时,不是依照其后缀名,而是通过读取文件的PE头结构,来确定文件属性,进而使用合适的加载方式。
这也就解释了,为什么把SREng后缀改成.com,.scr,甚至.bat,都能够正常执行。
正常软件可以利用这种性质,而更多地被病毒所利用。如灰鸽子的对应文件可以完全没有后缀名,或用其他非exe的后缀名,但实际上系统启动灰鸽子的服务时,仍然把它当exe来载入。
怎么没名字可以用 - 2007-7-24 20:59:00
楼上真厉害啊!
小弟佩服佩服
我还是个高中生
尽管不懂什么PE执行什么的
但为了以后能懂 不知我该学习计算机哪方面的内容的
谢谢指教!(原先在爱问 上问问题 ,但像这种问题 在那里绝对没有这样的回答,证明 我来卡卡是对的!历史证明我的决策是正确的!)
huiyanqiang - 2007-7-24 21:15:00
我办公室的电脑,输入凡带“瑞星”或“病毒”字样的网页都进不去或闪现一下立即关闭,瑞星杀毒、防火墙软件均失效,点图标没反应。为什麽?怎样解决?请大侠帮帮忙!
轩辕小聪 - 2007-7-24 21:26:00
楼上的不要老在别人的帖子中插话,请另开新帖描述你的问题。
© 2000 - 2026 Rising Corp. Ltd.