反病毒教程第9课文应件用与挂钩启动.docVIP

反病毒教程第9课:文件应用与挂钩启动 （注：本文中的“＼”，如有需要体验或者使用，请替换成半角斜线） 一.一个特殊dll文件ws2_32.dll 在软件安装目录下新建一个文本文件,改名为ws2_32.dll,此时将导致该软件无法运行. 解释如下:ws2_32.dll是Windows Sockets应用程序接口,用于支持Internet和网络应用程序.程序运行时会自动调用ws2_32.dll文件,ws2_32.dll是个动态链接库文件位于系统文件夹中.Windows在查找动态链接库文件时会先在应用程序当前目录搜索,如果没有找到会搜索Windows所在目录;如果还是没有会搜索system32和system目录。一些病毒可能会利用此原理在杀毒软件目录中建立名为ws2_32.dll文件或文件夹,在杀毒软件看来这是程序运行需要的文件而调用,而这个文件又不具备系统ws2_32.dll文件的功能,所以杀毒软件等就无法运行了而提示:应用程序或DLL为无效的 windows映像,请再检测一遍您的安装盘,我随便测了一个程序。 我现在拿一个程序做个试验… 找到一个程序,如我的ACD See,增加一个ws2_32.dll文件… 如: 删除ws2_32.dll就可以正常运行~~ 二.一个特殊的程序rundll32.exe 这个文件的作用,从文件名应该就可以猜到了,用于运行32位的DLL文件,位于%sys