网络时代可不太平,谁没有遭遇过病毒或木马从CIH、ILove.docVIP

网络时代可不太平，谁没有遭遇过病毒或木马？从CIH、I Love You到红色代码、Nimda，从BO到冰河，无一不是网友经常懈逅的对象。怎么避免这些“艳遇”是广大用户孜孜以求的目标，不过，“道高一尺，魔高一丈”，“防”永远是落后的，主动消灭它们才是积极主动的。  　　要消灭它们，首先就要掌握病毒及木马是怎么入侵我们的爱机的。有关病毒及木马的入侵招数的文章很多，但都不太全面，编者偶然间发现了一篇作者不详，但内容颇为全面的文章，特意整理出来，希望对大家有所帮助。　　一、修改批处理 　　很古老的方法，但仍有人使用。一般通过修改下列三个文件来作案： 　　Autoexec.bat(自动批处理，在引导系统时执行) 　　Winstart.bat(在启动GUI图形界面环境时执行) 　　Dosstart.bat(在进入MS-DOS方式时执行) 　　例如：编辑C:\windows\Dosstart.bat，加入：start Notepad，当你进入“MS-DOS方式”时，就可以看到记事本被启动了。  　　二、修改系统配置 　　常使用的方法，通过修改系统配置文件System.ini、Win.ini来达到自动运行的目的，涉及范围有： 　　在Win.ini文件中： 　　[windows] 　　load=程序名 　　run=程序名 　　在System.ini文件中： 　　[boot] 　　shell=Explorer.exe 　　其中修改System.ini中Shell值的情况要多一些，病毒木马通过修改这里使自己成为Shell，然后加载Explorer.exe，从而达到控制用户电脑的目的。 三、借助自动运行功能 　　这是黑客最新研发成果，之前该方法不过被发烧的朋友用来修改硬盘的图标而已，如今它被赋予了新的意义，黑客甚至声称这是Windows的新BUG。 　　Windows的自动运行功能确实很烂，早年许多朋友因为自动运行的光盘中带有CIH病毒而中招，现在不少软件可以方便地禁止光盘的自动运行，但硬盘呢？其实硬盘也支持自动运行，你可尝试在D盘根目录下新建一个Autorun.inf，用记事本打开它，输入如下内容： 　　[autorun] 　　open=Notepad.exe  　　保存后进入“我的电脑”，按F5键刷新一下，然后双击D盘盘符，怎么样？记事本打开了，而D盘却没有打开。 　　当然，以上只是一个简单的实例，黑客做得要精密很多，他们会把程序改名为“　.exe”(不是空格，而是中文的全角空格，这样在Autorun.inf中只会看到“open=　”而被忽略，此种行径在修改系统配置时也常使用，如“run=　”；为了更好地隐藏自己，其程序运行后，还会替你打开硬盘，让你难以查觉。　　由此可以推想，如果你打开了D盘的共享，黑客就可以将木马和一个Autorun.inf存入该分区，当Windows自动刷新时，你也就“中奖”了，因此，大家千万不要共享任何根目录，当然更不能共享系统分区（一般为C:）。  　　四、通过注册表中的Run来启动 　　很老套的方法，但80%的黑客仍在使用，通过在Run、RunOnce、RunOnceEx、RunServices、RunServicesOnce中添加键值，可以比较容易地实现程序的加载，黑客尤其方便在带”Once”的主键中作手脚，因此带“Once”的主键中的键值，在程序运行后将被删除，因此当用户使用注册表修改程序查看时，不会发现异样。另外，还有这样的程序：在启动时删除Run中的键值，而在退出时（或关闭系统时）又添加键值，达到隐蔽自己的目的。(这种方法的缺点是：害怕恶意关机或停电，呵呵！)  　　五、通过文件关联启动 　　很受黑客喜爱的方式，通过EXE文件的关联(主键为：exefile)，让系统在执行任何程序之前都运行木马，真的好毒！通常修改的还有txtfile(文本文件的关联，谁不用用记事本呢？)、regfile(注册表文件关联，一般用来防止用户恢复注册表，例如让用户双击.reg文件就关闭计算机)、unkown(未知文件关联)。为了防止用户恢复注册表，用此法的黑客通常还连带谋杀scanreg.exe、sfc.exe、Extrac32.exe、regedit.exe等程序，阻碍用户修复。 六、通过API HOOK启动 　　这种方法较为高级，通过替换系统的DLL文件，让系统启动指定的程序。例如：拨号上网的用户必须使用Rasapi32.dll中的API函数来进行连接，那么黑客就会替换这个DLL，当用户的应用程序调用这个API函数，黑客的程序就会先启动，然后调用真正的函数完成这个功能（特别提示：木马可不一定是EXE，还可以是