防病毒技術培訓

1、防病毒技術培訓,病毒處理技術,掌握反病毒知識 熟悉反病毒工具的使用 培養(yǎng)現場反病毒應急響應能力,課程目標,病毒概述 1.1 當前面臨的威脅 1.2 計算機病毒的分類 1.3 當前病毒流行的趨勢 常見病毒類型說明及行為分析 2.1 常見病毒傳播途徑 2.2 病毒自啟動方式 2.3 常見病毒行為,培訓課程安排,病毒處理技術 3.1 趨勢防病毒產品工作機制介紹 3.2 病毒問題標準處理流程 3.3 常用的病毒處理方法 3.4 常用工具介紹 典型病毒案例分析,培訓課程安排,病毒概述,1. 病毒概述,病毒概述 1.1 當前用戶面臨的威脅 1.2 計算機病毒的分類 1.3 當前病毒流行趨勢 常見病毒類型說

2、明及行為分析 2.1 常見病毒傳播途徑 2.2 病毒自啟動方式 2.3 常見病毒行為,課程進度,1.1 當前用戶面臨的威脅,隨著互聯網的發(fā)展，我們的企業(yè)和個人用戶在享受網絡帶來的快捷和商機的同時，也面臨無時不在的威脅： 病毒 PE 蠕蟲 WORM 木馬 TROJ 后門 BKDR 間諜軟件 TSPY 其他 以上統(tǒng)稱為惡意代碼。,1.1 當前用戶面臨的威脅,防間諜軟件產品覆蓋范圍,防病毒產品覆蓋范圍,1.2 現代計算機病毒的分類,病毒,特洛伊木馬,后門 木馬,蠕蟲,惡意軟件,間諜軟件 (有惡意行為),間諜軟件 (無惡意行為),灰色軟件（正邪難辨） (往往是用戶不需要的程序),惡意程序： 一種會帶來

3、危害結果的程序,特洛伊木馬： 一種會在主機上未經授權就自己執(zhí)行的惡意程序,后門木馬： 一種會在主機上開放端口讓遠程計算機遠程訪問的惡意程序,1.2 現代計算機病毒的分類,病毒,特洛伊木馬,后門 木馬,蠕蟲,惡意軟件,間諜軟件 (有惡意行為),間諜軟件 (無惡意行為),灰色軟件（正邪難辨） (往往是用戶不需要的程序),病毒： 病毒會復制（感染）其它文件通過各種方法 前附著 插入 C. 覆蓋 D. 后附著,蠕蟲: 蠕蟲自動傳播自身的副本到其他計算機： 通過郵件（郵件蠕蟲） 通過點對點軟件 (點對點蠕蟲) 通過IRC (IRC 蠕蟲) 通過網絡 (網絡蠕蟲),1.2 現代計算機病毒的分類,病毒,特洛

4、伊木馬,后門 木馬,蠕蟲,惡意軟件,間諜軟件 (有惡意行為),間諜軟件 (無惡意行為),灰色軟件（正邪難辨） (往往是用戶不需要的程序),間諜軟件： 此類軟件會監(jiān)測用戶的使用習慣和個人信息，并且會將這些信息在未經用戶的認知和許可下發(fā)送給第三方。包括鍵盤紀錄，事件日志，cookies，屏幕信息等，或者是上面所列的信息的組合。 對系統(tǒng)的影響表現為系統(tǒng)運行速度下降，系統(tǒng)變得不穩(wěn)定，甚至當機。,惡意程序,灰色地帶,間諜軟件,不同種類的間諜軟件,1.3 當前病毒流行趨勢,范圍：全球性爆發(fā)逐漸轉變?yōu)榈赜蛐员l(fā) 如WORM_MOFEI.B等病毒逐漸減少 TSPY_QQPASS, TSPY_WOW, PE_L

5、OOKED等病毒逐漸增加 速度：越來接近零日攻擊(Zero-Day Attack) 如WORM_ZOTOB, WORM_IRCBOT等 方式：病毒、蠕蟲、木馬、間諜軟件聯合 如PE_LOOKED病毒感染的同時也會從網絡下載感染TSPY_LINAGE病毒,常見病毒類型說明及行為分析,2. 常見病毒類型說明及行為分析,病毒概述 1.1 當前用戶面臨的威脅 1.2 計算機病毒的分類 1.3 當前病毒流行趨勢 常見病毒類型說明及行為分析 2.1 常見病毒傳播途徑 2.2 病毒自啟動方式 2.3 常見病毒行為,課程進度,木馬病毒： TROJ_XXXX.XX 后門程序： BKDR_XXXX.XX 蠕蟲病毒

6、： WORM_XXXX.XX 間諜軟件： TSPY_XXXX.XX 廣告軟件： ADW_XXXX.XX 文件型病毒： PE_XXXX.XX 引導區(qū)病毒：目前世界上僅存的一種引導區(qū)病毒 POLYBOOT-B,趨勢科技對惡意程序的分類,病毒感染系統(tǒng)時，感染的過程大致可以分為： 通過某種途徑傳播，進入目標系統(tǒng) 自我復制,并通過修改系統(tǒng)設置實現隨系統(tǒng)自啟動 激活病毒負載的預定功能如： 打開后門等待連接 發(fā)起DDOS攻擊 進行鍵盤記錄 ,2 病毒感染的一般方式,除引導區(qū)病毒外，所有其他類型的病毒，無一例外，均要在系統(tǒng)中執(zhí)行病毒代碼，才能實現感染系統(tǒng)的目的。對于不同類型的病毒，它們傳播、感染系統(tǒng)的方法也有

7、所不同。,2.1 常見病毒傳播途徑,2.1 常見病毒傳播途徑,傳播方式主要有： 電子郵件 網絡共享 P2P 共享 系統(tǒng)漏洞 移動磁盤傳播,2.1 常見病毒傳播途徑,電子郵件 HTML正文可能被嵌入惡意腳本， 郵件附件攜帶病毒壓縮文件 利用社會工程學進行偽裝，增大病毒傳播機會 快捷傳播特性 例：WORM_MYTOB，WORM_STRATION等病毒,2.1 常見病毒傳播途徑,網絡共享 病毒會搜索本地網絡中存在的共享，包括默認共享 如ADMIN$ ,IPC$,E$ ,D$,C$ 通過空口令或弱口令猜測，獲得完全訪問權限 病毒自帶口令猜測列表 將自身復制到網絡共享文件夾中 通常以游戲,CDKEY等相

8、關名字命名 例：WORM_SDBOT 等病毒,2.1 常見病毒傳播途徑,P2P共享軟件 將自身復制到P2P共享文件夾 通常以游戲,CDKEY等相關名字命名 通過P2P軟件共享給網絡用戶 利用社會工程學進行偽裝，誘使用戶下載 例：WORM_PEERCOPY.A等病毒,2.1 常見病毒傳播途徑,系統(tǒng)漏洞 由于操作系統(tǒng)固有的一些設計缺陷,導致被惡意用戶通過畸形的方式利用后,可執(zhí)行任意代碼,這就是系統(tǒng)漏洞. 病毒往往利用系統(tǒng)漏洞進入系統(tǒng), 達到傳播的目的。 常被利用的漏洞 RPC-DCOM 緩沖區(qū)溢出 (MS03-026) Web DAV (MS03-007) LSASS (MS04-011) (Lo

9、cal Security Authority Subsystem Service) 例：WORM_MYTOB 、WORM_SDBOT等病毒,2.1 常見病毒傳播途徑,案例 SQL Slammer 攻擊網絡上任意IP的1434端口，實現DDOS攻擊 造成大量網絡流量，阻塞網絡 2005年3月，國內某銀行一臺服務器感染該病毒，導致核心交換機負載達到99%，引起網絡癱瘓 從ServerProtect日志中確認為SQL Slammer病毒 SQL服務器未安裝補丁 安裝SQL Server 2000 SP3，并再次使用ServerProtect查殺病毒，問題解決。,2.1 常見病毒傳播途徑,其他常見病毒

10、感染途徑： 網頁感染 與正常軟件捆綁 用戶直接運行病毒程序 由其他惡意程序釋放 目前大多數的木馬、間諜軟件等病毒都是通過這幾種方式進入系統(tǒng)。它們通常都不具備傳播性。,廣告軟件/灰色軟件 由于廣告軟件/灰色軟件的定義，它們有時候是由用戶主動安裝，更多的是與其他正常軟件進行綁定。,2.1 常見病毒傳播途徑,及時更新系統(tǒng)和應用軟件補丁，修補漏洞 強化密碼設置的安全策略，增加密碼強度 加強網絡共享的管理 增強員工的病毒防范意識,2.1 防止病毒入侵,針對病毒傳播渠道，趨勢科技產品應用 利用OfficeScan的爆發(fā)阻止功能，阻斷病毒通過共享和漏洞傳播,2.1 防止病毒入侵,自啟動特性 除引導區(qū)病毒外，

11、絕大多數病毒感染系統(tǒng)后，都具有自啟動特性。 病毒在系統(tǒng)中的行為是基于病毒在系統(tǒng)中運行的基礎上的，這就決定了病毒必然要通過對系統(tǒng)的修改，實現開機后自動加載的功能。,2.2 病毒自啟動方式,修改注冊表 將自身添加為服務 將自身添加到啟動文件夾 修改系統(tǒng)配置文件,加載方式 服務和進程病毒程序直接運行 嵌入系統(tǒng)正常進程DLL文件和OCX文件等 驅動SYS文件,修改注冊表 注冊表啟動項 文件關聯項 系統(tǒng)服務項 BHO項 其他,2.2 病毒自啟動方式,注冊表啟動 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion下： RunServices R

12、unServicesOnce Run RunOnce HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion下： Run RunOnce RunServices 以上這些鍵一般用于在系統(tǒng)啟動時執(zhí)行特定程序,2.2 病毒自啟動方式,文件關聯項 HKEY_CLASSES_ROOT下： exefileshellopencommand =%1 %* comfileshellopencommand =%1 %* batfileshellopencommand =%1 %* htafileShellOpenCommand =%1 %* piffile

13、shellopencommand =%1 %*“ 病毒將%1 %*改為 “virus.exe %1 %* virus.exe將在打開或運行相應類型的文件時被執(zhí)行,2.2 病毒自啟動方式,修改配置文件 %windows% wininit.ini中Rename節(jié) NUL=c:windowsvirus.exe 將c:windowsvirus.exe設置為NUL,表示讓windows在將virus.exe 運行后刪除. Win.ini中的windows節(jié) load = virus.exe run = virus.exe 這兩個變量用于自動啟動程序。 System.ini 中的boot節(jié) Shell =

14、 Explorer.exe,virus.exe Shell變量指出了要在系統(tǒng)啟動時執(zhí)行的程序列表。,2.2 病毒自啟動方式,病毒常修改的Bat文件 %windows%winstart.bat 該文件在每次系統(tǒng)啟動時執(zhí)行，只要在該文件中寫入欲執(zhí)行的程序，該程序即可在系統(tǒng)啟動時自動執(zhí)行。 Autoexec.bat 在DOS下每次自啟動,2.2 病毒自啟動方式,修改啟動文件夾 當前用戶的啟動文件夾 可以通過如下注冊表鍵獲得: SoftwareMicrosoftWindowsCurrentVersionExplorerShell Folders中的 StartUp 項 公共的啟動文件夾 可以通過如下注

15、冊表鍵獲得: SoftwareMicrosoftWindowsCurrentVersionExplorerShell Folders中的 Common StartUp 項 病毒可以在該文件夾中放入欲執(zhí)行的程序， 或直接修改其值指向放置有要執(zhí)行程序的路徑。,2.2 病毒自啟動方式,病毒感染系統(tǒng)后，無疑會對系統(tǒng)做出各種修改和破壞。有時病毒會使受感染的系統(tǒng)出現自動彈出網頁、占用高CPU資源、自動彈出/關閉窗口、自動終止某些進程等各種不正常現象。,2.3 常見病毒行為,無論病毒在系統(tǒng)表現形式如何 我們需要關注的是病毒的隱性行為！,下載特性 很多木馬、后門程序間諜軟件會自動連接到Internet某Web

16、站點，下載其他的病毒文件或該病毒自身的更新版本/其他變種。 后門特性 后門程序及很多木馬、蠕蟲和間諜軟件會在受感染的系統(tǒng)中開啟并偵聽某個端口，允許遠程惡意用戶來對該系統(tǒng)進行遠程操控。有時候病毒還會自動連接到某IRC站點某頻道中，使得該頻道中特定的惡意用戶遠程訪問受感染的計算機。,下載與后門特性-Downloader HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun,檢查注冊表中常見的病毒自動加載項,檢查服務: 在控制面板-管理工具-服務中，查看是否存在可疑服務。若無法確定服務是否可疑，可直接查看該服務屬性，檢查服務所指向的文件

17、。隨后可以檢查該文件是否為正常文件(文件檢查方法稍后會介紹)。對于不正常的服務，可直接在注冊表中刪除該服務的主鍵。 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices,檢查注冊表中常見的病毒自動加載項,檢查Winlogon加載項 在注冊表中檢查Winlogon相關加載項： HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon Shell = Explorer.exe (默認) Userinit=C:WINDOWSsystem32userinit.exe,(默認) 以

18、上Shell和Userinit鍵值為默認，若發(fā)現被修改，可直接將其修改為默認鍵值。,檢查注冊表中常見的病毒自動加載項,檢查Winlogon加載項 在注冊表中檢查Winlogon Notify相關加載項： HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotify 在Notify下會有多個主鍵(目錄)，每個主鍵中的DllName鍵值將指向一個DLL文件。若發(fā)現有指向可疑的DLL文件時，請先確認其指向的DLL是否正常。若不正常，可直接刪除這個主鍵。,檢查注冊表中常見的病毒自動加載項,檢查其他加載項 在注冊表中檢

19、查以下注冊表加載項鍵值： HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows AppInit_DLLs = “” HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows Load = “” 該鍵值默認為空。若鍵值被修改，可直接將鍵值內容清空。,檢查注冊表中常見的病毒自動加載項,檢查Browser Help Object(BHO)項 BHO項在注冊表中包含以下主鍵的內容： HKEY_LOCAL_MACHINESOFTWAREMicrosof

20、tWindowsCurrentVersionExplorerBrowser Helper Objects HKEY_CLASSES_ROOTCLSID 可以在HKEY_CLASSES_ROOTCLSID下的InprocServer32主鍵中查看BHO項所指向的文件。當發(fā)現指向了可疑文件時，可直接刪除以上注冊表路徑下所有包含了該CLSID的主鍵。 使用Hijackthis工具可以迅速有效的分析系統(tǒng)中的BHO項。該工具使用方法稍后會介紹。,檢查注冊表中的BHO項,如何判斷文件是否可疑？ 所有的Windows正常系統(tǒng)文件都包含完整的版本信息。若文件無版本信息，或版本信息異常，則可判斷為可疑文件。直接

21、刪除這樣的文件不會對系統(tǒng)造成影響。,系統(tǒng)中的可疑文件,查看文件版本信息 Google之 聯系趨勢科技工程師,如何迅速查找這些可疑文件？ 對于這些目錄下的文件，按照修改日期排序，檢查修改日期為最近一段時間的文件：,系統(tǒng)中的可疑文件,%SystemRoot% %SystemRoot%System32 %SystemRoot%System32drivers,可執(zhí)行文件 .EXE，.COM，.SCR，.PIF DLL文件和OCX文件 LOG文件有一些病毒會將DLL文件偽裝成LOG后綴的文件，可以直接雙擊打開查看其內容是否為文本。若為亂碼，則可疑。,病毒文件被隱藏，如何查找？ 在工具-文件夾選項中，選擇

22、“顯示所有文件”并取消“隱藏受保護的系統(tǒng)文件”復選框。 仍然無法顯示隱藏文件？ 檢查注冊表鍵值，確認其為以下值： HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenNOHIDDEN CheckedValue = 2 DefaultValue = 2 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL CheckedValue = 1 Default

23、Value = 2,查找可疑文件可能遇到的問題,修復被病毒修改的host文件 一些病毒會修改系統(tǒng)的host文件，使用戶無法訪問某些網站，或在用戶訪問某些網站時，重定向到某些惡意站點。 檢查文件： %SystemRoot%System32driversetchost 使用文本編輯工具打開該文件檢查。默認該文件包含一條host記錄： localhost 若有其他可疑的host記錄，可以直接刪除多余的記錄。,檢查并修復host文件,病毒經常存在于臨時目錄中 清空所有以上的目錄。,刪除所有臨時文件,%SystemRoot%Temp C:Temp Internet臨時文件 C:Doc

24、uments and SettingsLocal SettingsTemp,應用實例 HijackThis Process Explorer IceSword LSPFix & winsockfix SIC 3.0 Autoruns 其他工具 TCPView 分析網絡連接 Regmon,InstallRite 監(jiān)視注冊表 Filemon,InstallRite 監(jiān)視文件系統(tǒng) WinPE,3.4 常用工具介紹,3.4 常用工具介紹-TCP View,TCP View 功能: 查看系統(tǒng)的網絡連接信息(遠程地址,協(xié)議,端口號) 查看系統(tǒng)的網絡連接狀況(發(fā)起連接,已連接,已斷開) 查看進程打開的端口

25、動態(tài)刷新列表 多用于查看 蠕蟲,后門,間諜等惡意程序,3.4 常用工具介紹-Regmon,Regmon主要功能: 監(jiān)視系統(tǒng)中注冊表的操作: 如 注冊表的打開,寫入,讀取,查詢,刪除,編輯等 多用于監(jiān)視病毒的自啟動信息和方式.,3.4 常用工具介紹-Filemon,Filemon主要功能: 監(jiān)視文件系統(tǒng)的操作: 如建立文件,打開文件,寫文件, 讀文件,查詢文件信息等 多用于查找Dropper的主體程序.,3.4 常用工具介紹-InstallRite,InstallRite功能: 跟蹤文件系統(tǒng)的變化 跟蹤注冊表的變換 注:若惡意程序帶有RootKit功能, 請重啟后進入安全模式再分析系統(tǒng)變化(如灰

26、鴿子某些變種) 局限性: 解決方法 無法跟蹤進程樹的變化 Process Explorer 無法跟蹤網絡連接和端口情況 TCP Viewer,典型病毒案例分析,4. 典型病毒案例分析,病毒處理技術 3.1 趨勢防病毒產品工作機制介紹 3.2 病毒問題標準處理流程 3.3 常用的病毒處理方法 3.4 常用工具介紹 典型病毒案例分析,課程進度,4. 典型病毒案例分析,案例1： 后門：灰鴿子 【BKDR_HUPIGON.G】 案例2： 木馬：傳奇木馬 【TROJ_LEGMIR.CN】 案例3： 蠕蟲： 【WORM_LOVGATE.AE】 案例4： PE病毒 【PE_LOOKED.ID-O】,4.1

27、案例1：灰鴿子 BKDR_HUPIGON.G,灰鴿子的自行安裝 在無意中執(zhí)行了灰鴿子后門程序后, 會在windows目錄中釋放4個文件： G_SERVER.DLL G_SERVER.EXE 【 copy of itself 】 G_SERVER_HOOK.DLL G_SERVERKEY.DLL 使用了rootkit技術隱藏以上文件， 導致用戶手工查看時不可見。,4.1 案例1：灰鴿子 BKDR_HUPIGON.G,灰鴿子的自啟動：注冊為服務 通過將自身注冊成服務，并添加以下注冊表服務項，常駐內存 HKEY_LOCAL_MACHINESystemCurrentControlSetServices

28、GrayPigeonServer 執(zhí)行后門功能： 打開一個隨機的端口，允許遠程用戶連接受感染系統(tǒng)。 一旦連接成功，它將在本地執(zhí)行以下命令 Create registry entries Startkill services Startkill processes Create files in any folder chosen by the remote user Create threads Get disk status Download files from the Internet to the affected system Log keystrokes Inject proces

29、ses,4.1 案例1：灰鴿子 BKDR_HUPIGON.G,清除灰鴿子 BKDR_HUPIGON.G 以windows XP 為例，步驟如下 ： 關閉XP系統(tǒng)還原； 重啟進入安全模式，由于正常模式下文件不可見； 打開文件夾的顯示隱藏文件、系統(tǒng)文件功能； 找到并刪除window目錄下灰鴿子的4個文件； 打開regedit，刪除HKEY_LOCAL_MACHINESystemCurrentControlSetServices 下的 GrayPigeonServer項 ； 清除完成。,4.2 案例2：傳奇木馬 TROJ_LEGMIR.CN,用于盜取一款網絡游戲傳奇的游戲用戶信息（帳號、密碼等），并

30、通過電子郵件將偷到的信息發(fā)送給遠程的惡意用戶。 該木馬執(zhí)行后，會在windows系統(tǒng)文件夾中釋放以下文件： OBJECTSl.WIX PRGUSEl0.WIX PRGUSEl1.WIX SVCH0ST.EXE a copy of itself,4.2 案例2：傳奇木馬 TROJ_LEGMIR.CN,該木馬創(chuàng)建以下注冊表鍵值 HKEY_CLASSES_ROOTPrgusel1.classname HKEY_CLASSES_ROOTCLSID081FE200-A103-11D7-A46D-C770E4459F2F HKEY_LOCAL_MACHINESOFTWAREClassesPrgusel1.

31、classname HKEY_LOCAL_MACHINESOFTWAREClassesCLSID081FE200-A103-11D7-A46D-C770E4459F2F HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionExplorerShellExecuteHooks081FE200-A103-11D7-A46D-C770E4459F2F = hookmir,4.2 案例2：傳奇木馬 TROJ_LEGMIR.CN,清除傳奇木馬 TROJ_LEGMIR.CN 以windows XP 為例，步驟如下： 關閉XP系統(tǒng)還原； 標識病毒程

32、序和文件：更新病毒庫，用趨勢產品掃描； 結束病毒相關的惡意進程：進程管理器，Process Explorer 刪除病毒相關的注冊表項：（具體項見前頁）； 清除完成。,4.3 案例3：WORM_LOVGATE.AE,WORM_LOVGATE.AE的自身安裝 該蠕蟲會在執(zhí)行后，生成以下文件： %System%hxdef.exe %System%IEXPLORE.exe %System%kernel66.dll %System%RAVMOND.exe %System%TkBellExe.exe %System%Update_OB.exe %Windows%SYSTRA.EXE %Windows% s

33、vchost.exe 并在Windows system目錄中釋放以下后門組件 LMMIB20.DLL MSJDBC11.DLL MSSIGN30.DLL ODBC16.DLL SPOLLSV.EXE NETMEETING.EXE IEXPLORER.EXE 其中的DLL文件被檢測為WORM_LOVGATE.Q，EXE文件被檢測為WORM_LOVGATE.V,4.3 案例3：WORM_LOVGATE.AE,WORM_LOVGATE.AE的自啟動： HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下， WinHelpC:WIND

34、OWSSystem32TkBellExe.exe“ Shell Extension = %System%spollsv.exe“ Hardware Profile = %System%hxdef.exe“ Protected Storage = RUNDLL32.EXE MSSIGN30.DLL ondll_reg“ Microsoft NetMeeting Associates, Inc.NetMeeting.exe“ Program In WindowsC:WINDOWSSystem32IEXPLORE.EXE VFW Encoder/Decoder Settings = RUNDLL32

35、.EXE MSSIGN30.DLL ondll_reg“ HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows下， runRAVMOND.exe“,4.3 案例3：WORM_LOVGATE.AE,通過修改注冊表，將自身注冊成服務: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices下, COM+ System = svchost.exe “ HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurre

36、ntVersionRunServices 下， SystemTra = C:WINDOWSSysTra.EXE “ HKEY_LOCAL_MACHINESystemCurrentControlSetServices下 注冊 _reg和 Windows Management Protocol v.0 (experimental)兩個服務 對基于NT的系統(tǒng), 它會添加一個AUTORUN.INF文件,該文件允許window的自動播放功能來執(zhí)行系統(tǒng)根目錄下的 COMMAND.EXE. 它還會創(chuàng)建相關的注冊表項： HKEY_LOCAL_MACHINESoftwareClassesAutoRun2ShellAutoRuncommand下， Default =