|
|
知识路径: > 恶意代码防范技术原理 > 特洛伊木马分析与防护 > 特洛伊木马防范技术(基于查看开放端口检测特洛伊木马技术、基于重要系统文件检测特洛伊木马技术、基于系统注册表检测特洛伊木马技术、检测具有隐藏能力的特洛伊木马技术、基于网络检测特洛伊木马技术、基于网络阻断特洛伊木马技术、清除特洛伊木马技术等) >
|
相关知识点:7个
|
|
|
|
Windows类型的木马常通过修改注册表的键值来控制木马的自启动,该方法的基本原理是检查计算机的注册表键值异常情况以及对比已有木马的修改注册表的规律,综合确认系统是否受到木马侵害。如下图所示,Windows木马经常将注册表修改成以下信息。
|
|
|
|
|
在Windows系统中,通过regedit命令打开注册表编辑器,再点击至“HKEY_ LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”目录下,查看键值中有没有异常的自动启动文件,特别是扩展名为EXE的文件。例如,“Acid Battery v1.0木马”会将注册表“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下的Explorer键值改为Explorer=“C:\Windows\expiorer.exe”,而且“木马”程序与真正的Explorer之间只有“i”与“l”的差别。
|
|
|
|
|
|
|
|
|
|
|
|