資源描述:
《徹底告別加載dll出錯(cuò)》由會(huì)員上傳分享,免費(fèi)在線閱讀����,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫。
1、提到開機(jī)加載(load)項(xiàng)�����,大家不要以為就是系統(tǒng)啟動(dòng)(run)項(xiàng)���。最簡單的例子是��,殺毒軟件或者用戶手動(dòng)刪除病毒文件后�,注冊表中的自動(dòng)加載信息仍在�����,登陸系統(tǒng)時(shí)就會(huì)提示“加載*dll出錯(cuò)�,系統(tǒng)找不到指定的模塊”,這些dll就是病毒寄生在系統(tǒng)進(jìn)程之下的加載項(xiàng)�����。加載dll出錯(cuò) 病毒本身被阻止運(yùn)行�,卻“挾系統(tǒng)以令用戶”,輾轉(zhuǎn)藏在系統(tǒng)進(jìn)程后面繼續(xù)狐假虎威�����,大行其道;它們被發(fā)現(xiàn)并刪除后��,下次系統(tǒng)登陸�����、啟動(dòng)服務(wù)����、初始化用戶配置、啟動(dòng)外殼explorer.exe時(shí)�����,依然會(huì)按注冊表的指示運(yùn)行rundll32.exe調(diào)用這些加載項(xiàng)�����,這時(shí)系統(tǒng)找不到文件實(shí)體����,就會(huì)提示加載失敗�。雖
2、然不影響使用�����,但那“嗡”的一聲,有如晴天霹靂����,讓人一開機(jī)就憋得慌!點(diǎn)擊確定后也一直如坐針氈���,總感覺自己中毒了���。 其實(shí)��,只要在注冊表中搜索這個(gè)dll刪掉����,一般就能就地解決。問題是���,很多dll在注冊表中根本搜索不到�����,但開機(jī)時(shí)它就是要彈框�!別慌,只要去注冊表中如下固定位置掃蕩一遍��,疏而不漏�,總能找到蛛絲馬跡。以下位置最前四字母均為首字母縮寫�,在注冊表利器RegistryWorkshop的地址欄中通用,可直接粘貼回車轉(zhuǎn)到��,并加入收藏��,收藏還可分類哦~Let'sGo���! ?����。?)WinLoad HKCUSoftwareMicrosoftWindowsNTC
3�、urrentVersionWindowsloadWindows_load 如圖�����,這項(xiàng)原本不存在�����,或者默認(rèn)為空�����。如果病毒將自己的dll添加到這里�����,可想而知系統(tǒng)啟動(dòng)時(shí)就會(huì)自動(dòng)加載它�。 ?�。?)Notify HKLMSOFTWAREMicrosoftWindowsNTCurrentVersionWinlogonNotifyWinlogon_notify 這里是windows登陸“通知”�����,圖中的項(xiàng)都是正常項(xiàng)�。以前Windows正版增值計(jì)劃通知(WGA)提示W(wǎng)indows不是正版,就是通過wgalogon.dll在這里添加了一個(gè)項(xiàng)����,登陸時(shí)通知調(diào)
4、用WgaTray.exe�,在托盤彈出提示的。如果病毒也在這里嵌入一個(gè)“通知”���,開機(jī)時(shí)當(dāng)然會(huì)有所表現(xiàn)并有所動(dòng)作���?�! ��。?)Userinit HKLMSOFTWAREMicrosoftWindowsNTCurrentVersionWinlogonUserinitWinlogon_Userinit 當(dāng)“歡迎使用”或“正在加載個(gè)人配置”的窗口飄過后�,我們打開任務(wù)管理器��,可以看到這個(gè)Userinit.exe進(jìn)程逗留了很久方去�,它就是用戶個(gè)人配置初始化程序。其默認(rèn)值是C:WINDOWSsystem32userinit.exe,(帶英文半角逗號)��,
5��、如果這項(xiàng)被修改����,加載個(gè)人配置時(shí)就會(huì)難產(chǎn)彈錯(cuò);如果被改成病毒程序�����,后果不堪設(shè)想��。(4)LogonShell HKLMSOFTWAREMicrosoftWindowsNTCurrentVersionWinlogonShellWinlogon_Shell Shell外殼指的是可視化的用戶資源管理界面�,默認(rèn)值Explorer.exe,即顯示資源管理器�����、“我的電腦”����、文件夾、桌面�、開始菜單、任務(wù)欄��、托盤的程序�。當(dāng)我們從任務(wù)管理器結(jié)束Explorer.exe,可看到桌面只剩一張壁紙�,文件夾界面全體消失,應(yīng)用程序窗口仍在����。 如果開機(jī)進(jìn)入桌面后出現(xiàn)這種情
6����、況���,說明Explorer.exe程序被修改了或在注冊表此項(xiàng)被阻止啟動(dòng)了。這時(shí)先可試著從資源管理器運(yùn)行explorer��,不行的話從別人電腦里拷貝explorer.exe到Windows文件夾覆蓋����,同時(shí)還要進(jìn)入這里查看Shell的默認(rèn)值Explorer.exe有沒有被篡改,后面有沒有被加上“尾巴”即病毒附著在Explorer.exe上面的加載項(xiàng)�����?����! ����。?)ExplorerAutoRun HKLMSOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerExplorerAutoRun 圖中項(xiàng)為Wi
7、ndows某更新所產(chǎn)生的正常項(xiàng)�����,但注意這里也可以被病毒嵌入加載項(xiàng)?��! 。?)ShellServiceObjectDelayLoad HKLMSOFTWAREMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoadShellSvcLoad 這些是“外殼服務(wù)”�����,例如CDBurn是鮮為人知的Window自帶刻錄功能����,SysTray是系統(tǒng)托盤顯示程序,這項(xiàng)沒了開機(jī)后一些托盤圖標(biāo)就會(huì)消失�����。當(dāng)然病毒加載項(xiàng)也可在這里濫竽充數(shù)�����?��! ���。?)ShellExecuteHooks HKLMSOFTWARE
8���、MicrosoftWindowsCurrentVersion
