Urgente, ¿qué significa secuestro de archivos del sistema? ¿Alguien puede explicar esto en detalle y decirme dónde puedo ver los detalles de los archivos secuestrados?
Se encuentra en el registro.
HKEY_Local_Machine\Software\Microsoft\Windows NT\Current Version\Image File Execution Options Cuando un programa ejecutable está bajo el control de IFEO, su asignación de memoria se establece de acuerdo con los parámetros del programa. Cuando un sistema basado en Windows NT carga un programa a través de esta clave de registro, puede usar la clave que coincide con el nombre del archivo ejecutable como base de control. Finalmente, puede configurar un mecanismo de administración de montón y algunos mecanismos auxiliares para el programa. . Para simplificar, IFEO coincide con el nombre del archivo del programa que desea controlar ignorando la ruta, por lo que no importa en qué ruta se coloque el programa, mientras el nombre siga siendo el mismo, se ejecutará sin orden.
Echemos un vistazo a cómo los virus normales modifican el registro.
Implementemos un inicio aleatorio.
Los virus, gusanos y troyanos todavía utilizan claves de registro conocidas y usadas en exceso, como las siguientes:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version \Run
HKLM\SOFTWARE\Microsoft\Windows NT\versión actual\Windows\AppInit_dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\versión actual\Winlogon \ Notify
HKEY _ LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\actual version\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\current version\RunServicesOnce
Espera un momento.
2. Otro método de secuestro es crear una función de exportación que sea la misma que la DLL del sistema en el directorio del programa de destino. El contenido de ejecución es el siguiente
f = LoadLibrary(. ByRef " c:\ windows \ system32 \ " dllname)
f=GetProcAddress(byval f, byref procname)
! jmp f
(PowerBasic)
puede hacer algunas cosas malas durante la inicialización de la DLL, cambiando así la aplicación original. Consulte /view/1008480.htm para obtener más detalles.