扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
1. HKEY_LOCAL_MACHINE/Software/Microsoft /Windows/Curr entVersion/Run/
2. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunOnce/
3. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices/.
4. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServicesOnce/
5. HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run/
6. HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunOnce/
7. HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunOnce/Setup/
8. HKEY_USERS/.Default/Software/Microsoft/Windows/CurrentVersion/Run/
9. HKEY_USERS/.Default/Software/Microsoft/Windows/CurrentVersion/RunOnce/
10. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Winlogon
11. HKEY_LOCAL_MACHINE/Software/Microsoft/Active Setup/Installed Components/
12. HKEY_LOCAL_MACHINE/System/CurrentControlSet/Servic es/VxD/
13. HKEY_CURRENT_USER/Control Panel/Desktop
14. HKEY_LOCAL_MACHINE/System/CurrentControlSet/Contro l/Session Manager
15. HKEY_CLASSES_ROOT/vbsfile/shell/open/command/
16. HKEY_CLASSES_ROOT/vbefile/shell/open/command/
17. HKEY_CLASSES_ROOT/jsfile/shell/open/command/
18. HKEY_CLASSES_ROOT/jsefile/shell/open/command/
19. HKEY_CLASSES_ROOT/wshfile/shell/open/command/
20. HKEY_CLASSES_ROOT/wsffile/shell/open/command/
21. HKEY_CLASSES_ROOT/exefile/shell/open/command/
22. HKEY_CLASSES_ROOT/comfile/shell/open/command/
23. HKEY_CLASSES_ROOT/batfile/shell/open/command/
24. HKEY_CLASSES_ROOT/scrfile/shell/open/command/
25. HKEY_CLASSES_ROOT/piffile/shell/open/command/
26. HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/
27. HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/Winsock2/Parameters/Protocol_Catalog/Catalog_En tries/
28. HKEY_LOCAL_MACHINE/System/Control/WOW/cmdline
29. HKEY_LOCAL_MACHINE/System/Control/WOW/wowcmdline
30. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Winlogon/Userinit
31. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/Curr entVersion/ShellServiceObjectDelayLoad/
32. HKEY_CURRENT_USER/Software/Microsoft/Windows NT/CurrentVersion/Windows/run
33. HKEY_CURRENT_USER/Software/Microsoft/Windows NT/CurrentVersion/Windows/load
34. HKEY_CURRENT_USER/Software/Microsoft/Windows/Curre ntVersion/Policies/Explorer/run/
35. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/Curr entVersion/Policies/Explorer/run/
金州注释,凡是木马,必须要启动,所以这些简单的启动项目还是应该好好看一下的。
3.检查服务,最简单的吧,服务列表太长,我估计你也不一定能全部记住。说一个简单的,运行msconfig,服务,把“隐藏所有的microsoft服务”选中,然后就看到了不是系统自带的服务,要看清楚啊,最后在服务里面找找看看属性,看看关联的文件。现在一般杀毒都要添加服务,我其实讨厌杀毒添加服务,不过好像是为了反病毒。
4,进程,这个网上资料更多,只说明两点,1.打开任务管理器,在“查看”,“选项列”中把“pid”选中,这样可以看到pid,所谓pid金州简单理解为就是进程的身份证,这样便于很多相关的处理。2.。点一个进程的时候右键有一个选项,“打开所在目录”,这个很明显的,但是很多哥们都忽略了,这个可以看到进程文件所在的文件夹,便于诊断。
5.cmd下会使用,netstat ?ano命令,觉得这一个命令对于简单的使用就可以了,可以查看协议端口连接和远程ip.
6.删除注册表{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}
{0D43FE01-F093-11CF-8940-00A0C9054228}
两个项目,搜索到以后你会看到是两个和脚本相关的,备份以后删除,主要是防止一下网上的恶意代码
(金州注释:如果对脚本感兴趣,自己准备学习相关知识并且测试的朋友不要删除)
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。