| |
| Windows类型的木马常通过修改注册表的键值来控制木马的自启动,该方法的基本原理是检查计算机的注册表键值异常情况以及对比已有木马的修改注册表的规律,综合确认系统是否受到木马侵害。如下图所示,Windows木马经常将注册表修改成以下信息。
|
|
|
|
|
|
|
| 在Windows系统中,通过regedit命令打开注册表编辑器,再点击至“HKEY_ LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”目录下,查看键值中有没有异常的自动启动文件,特别是扩展名为EXE的文件。例如,“Acid Battery v1.0木马”会将注册表“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下的Explorer键值改为Explorer=“C:\Windows\expiorer.exe”,而且“木马”程序与真正的Explorer之间只有“i”与“l”的差别。
|
|
|
|
|
|
|
|
|
|
|
|
