◆ — 卡多の博客 K.D

最近发现120.204.200.62:8080 这个IP和端口

想起很多木马都是8080端口连接的

吓个半死

后来才发现原来是新安装 QQ电脑管家 的IP和端口

深入了解system.ini
　　引用地址：http://www.xici.net/it/developer/b268615/d32176675.htm
　　在WINDOWS时代，system.ini仍然是系统不可或缺的配置文件，深入了解它有助于我们认识WINDOWS。每次开机时，都要改写它，你查一下WINDOWS下system.ini的修改时间就是刚才的开机时间。
　　下面分段了解WINDOWS在system.ini中的设置。

WIN.INI的基本构成
　　WIN.INI文件包含若干小节，每一节由一组相关的设定组成。WIN.INI文件中小节和设定的格式如下：
　　[小节名]
　　关键字名=值
　　其中：小节名必须用中括号([])括起，且左括号必须在屏幕的最左一列，文件中可以包含注释，每一行注释以分号(；)开始。
　　WIN.INI中的主要小节名及含义如下：
　　[Windows]：影响Windows操作环境的部分，包括在启动Windows时执行哪一个应用程序，警告声音的设置、窗口边框的宽度、键盘响应的速度、鼠标器设置以及将文件定义为文档或程序等。
　　[Desktop]：控制系统界面显示形式及窗口和鼠标器的位置。
　　[Extensions]：联结特定的文件类型与相应的应用程序。
　　[Intl]：描述怎样为除美国外的其它国家显示有关的文件项目。

木马查杀深度培析之自启动项篇(二)

2、开机自运行的程序
“开机自动运行程序”是操作系统为方便用户的使用而提供的一个方法，让每次开机都须频繁操作的一些工作得到自动的执行。而木马只是利用了这一方法，来完成自己的非法启动目的罢了。
最经典的启动位置，也是操作系统特别提供给用户的位置就是“启动文件夹”，在开始菜单中选择“所有程序”，里面的“启动”就是了。放在此文件夹中的所有程序，都将在下次启动时用户登录后，自动启动起来。这里面涉及到“用户”这个概念，先看下图03-24：
screen.width-461) window.op

关于windows自启动方法，前人已经讲了很多，但正是因为讲的人多了，方法也不叫方法了，成为一种童叟皆知的常识了，难道就没有一种可以更复杂！更隐蔽！！更强大！！！的自启动方法了？经过一个通宵的分析最新病毒，得到了2个最新的自启动方法，且看（如果大家都知道了这些方法，不要取笑我哦，HOHO）：


一、系统组件DLL自启动
1、在注册表中建立：
HKEY_CLASSES_ROOTCLSID{081FE200-A103-11D7-A46D-C770E4459F2F}InprocServer32
(默认)="需要自启动的程序路径及名称"
"ThreadingModel"="Apartment"
2、在注册表中建立：
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionexplorerShellExecuteHooks