瑞星卡卡安全论坛
aaccbbdd - 2008-7-11 7:38:00
aaccbbdd - 2008-7-11 8:10:00
木马会操作的注册表项目
1. 木马服务注册表项目
HKEY_LOCAL_MACHINE\SYSTEM\Controlset\Services\
HKEY_LOCAL_MACHINE\SYSTEM\Controlset001\Services\
HKEY_LOCAL_MACHINE\SYSTEM\Controlset002\Services\
2.木马自启动注册表项目
HKEY_LOCAL_MACHINE\Software\Microsoft\Windos\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windos\CurrentVersion\RunOnceEX
HKEY_LOCAL_MACHINE\Software\Microsoft\Windos\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windos\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windos\CurrentVersion\RunServicesOnce
HKEY_LOCAL_USER\Software\Microsoft\Windos\CurrentVersion\Run
HKEY_LOCAL_USER\Software\Microsoft\Windos\CurrentVersion\RunOnce
HKEY_LOCAL_USER\Software\Microsoft\Windos\CurrentVersion\RunServices
3.内核级木马加载项目
HKEY_LOCAL_MACHINE\Software\Microsoft\WindosNT\Currentversion\Winlogon\Userinit
HKEY_LOCAL_MACHINE\Software\Microsoft\WindosNT\Currentversion\Winlogon\Shell
HKEY_LOCAL_MACHINE\Software\Microsoft\WindosNT\Currentversion\Winlogon\System
4.文件关联
可能被病毒修改用于启动病毒的
HKEY_CLASSES_Root\.exe
HKEY_CLASSES_Root\.com
HKEY_CLASSES_Root\.bat
HKEY_CLASSES_Root\.VBS
HKEY_CLASSES_Root\.JS
HKEY_CLASSES_Root\.JSE
HKEY_CLASSES_Root\.WSF
HKEY_CLASSES_Root\.WSH
HKEY_CLASSES_Root\.Pif
HKEY_CLASSES_Root\.INk
HKEY_CLASSES_Root\.scr
HKEY_CLASSES_Root\.txt
HKEY_CLASSES_Root\.ini
欢迎各位专家指出错误
小靜靜 - 2008-7-11 9:46:00
沙发。
:default6: :default6:
lovert - 2008-7-11 13:43:00
楼主
可否解释一下为啥要去掉那几个对勾啊?去掉了的话会导致怎样的后果呢?谢谢
:default5:
aaccbbdd - 2008-7-11 14:33:00
原帖由 lovert 于 2008-7-11 13:43:00 发表
楼主
可否解释一下为啥要去掉那几个对勾啊?去掉了的话会导致怎样的后果呢?谢谢
:default5:
不去的话
瑞星的主动防御会导致
在进行正常的操作会弹一车皮提示:default2: :default2:
tjcum210210 - 2008-7-11 15:18:00
狮子有作品了?支持
hotboy - 2008-7-11 23:11:00
我还正在整理RD规则,这帖子不错
vistalong - 2008-7-12 9:00:00
学习一下 手动分析必须了解注册表
woaiku - 2008-7-12 15:13:00
不错,,正好学习一下怎么设置主动防御的规则
lovert - 2008-7-12 15:22:00
哦~~~ 现在知道了
谢谢LZ大人!!!:default6:
hg0407 - 2008-7-12 19:55:00
注册表那深奥了,,不懂...
av88 - 2008-7-12 19:59:00
:default10:
超级游戏迷 - 2008-7-13 6:06:00
挑刺:
1、木马是病毒的一种,防住木马不等于防住所有病毒;
2、病毒修改、添加的注册表启动项就多了,随便补充几个:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
最后一个注册表子项目,近来出现的病毒经常在这里光顾,需要引起警惕。
:default6: :default6: :default6:
aaccbbdd - 2008-7-13 8:44:00
原帖由 woaiku 于 2008-7-12 15:13:00 发表
不错,,正好学习一下怎么设置主动防御的规则
没这么简单
这个最好也搞上,要用启动控制
省的病毒利用后台打开IE
下载病毒
对*.EXE启动IE提示
可惜
瑞星不支持:kaka7: :kaka7: :kaka7: :kaka7:
无语中。。。。。。。。。。。。。。。。。
yrt999 - 2008-7-14 8:55:00
很多注册表项可以监控的,深入研究一下,谢谢分享!
aaccbbdd - 2008-7-14 20:47:00
音符12 - 2008-7-14 22:49:00
:default7: 进来学习下
土哦哦土@ - 2008-7-15 9:11:00
该用户帖子内容已被屏蔽
印度小三三 - 2008-7-15 14:34:00
很多病毒都是次无忌惮修改注册表导致杀不了或系统瘫痪
aaccbbdd - 2008-7-15 15:48:00
原帖由 印度小三三 于 2008-7-15 14:34:00 发表
很多病毒都是次无忌惮修改注册表导致杀不了或系统瘫痪
不怕影响性能的话
主动防御里的都设为高级
一般就没问题了
病毒的受害者 - 2008-7-16 17:28:00
可以了解一下主动防御,虽说我已经装了x主动防御。:default6:
一湾秋水 - 2008-7-17 18:14:00
现在知道了
谢谢楼主分享哦!!!:default6:
炫Oo逍遥oO - 2008-7-19 20:11:00
不检测SYS...
RS被结束进程,一切YY..:default3:
不会游泳的鹅 - 2008-7-21 9:49:00
楼主能否上传个设置好的打包啊?我们直接导入
asptest - 2008-7-23 1:35:00
没有加壳的木马都能过瑞星主动防御,但过不了卡巴主动防御,朋友给的木马,运行,瑞星防御,卡卡六,全开着,一点反应都没有,就象个傻子一样站在右下角,哎
gjw0039 - 2008-7-23 13:42:00
学习
蛛蛛随便 - 2008-7-25 11:34:00
我来加一个
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
这项是映象劫持
aaccbbdd - 2008-7-25 12:36:00
原帖由 蛛蛛随便 于 2008-7-25 11:34:00 发表
我来加一个
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
这项是映象劫持
瑞星的规则里有
aaccbbdd - 2008-7-25 12:37:00
原帖由 炫Oo逍遥oO 于 2008-7-19 20:11:00 发表
不检测SYS...
RS被结束进程,一切YY..:default3:
瑞星的系统加固里有
地区性 - 2008-7-25 12:53:00
如何进行设置?
© 2000 - 2024 Rising Corp. Ltd.
