扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
在本页阅读全文(共3页)
二、监视安装过程,后门别想混进
确认开启了KV2006实时监控中的“文件监控”与“注册表监控”功能,开始安装下载的安全工具,在安装过程中KV2006未提示发现病毒,不过注册表监控功能有了提示(如图3)!
图3
刚才安装程序对注册表动了什么手脚呢?点击KV2006界面菜单“工具”→“木马一扫光”,打开木马一扫光工具窗口。点击菜单“查看”→“拦截记录”,在中间的列表窗口中显示了被修改注册表键值是“HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion\Explorer\ Browser Helper Objects”,该注册表项用于管理IE插件的加载(如图4)。打开IE浏览器,看到工具栏中居然多出了一个“情色搜索”的按钮。
图4
没办法,只好在“运行”中输入“regedit.exe”,执行后打开注册表管理器,找到拦截的注册表键,将其删除掉。最后再次用KV2006扫描程序的安装目录及整个系统,确认系统中没有感染木马及病毒,继续下面的检测。
三、勘察程序留下的脚印
有的程序虽然没有为系统带来木马和病毒,但是却无法完全彻底的卸载清除,会在系统中留下一些后门,悄悄记录用户私密数据。恢复干净的系统后,笔者进行了如下的卸载测试:
1.生成快照
在安装程序前,首先运行了快照工具Regshot,设置“比较记录另存为HTML文档”;勾选“扫描”项,设置“快照目录”为“C:\”;在“输出路径”中设置对比文件保存在“D:\”。然后点击“摄取1”→“摄取并存档”命令,程序开始对当前系统文件及注册表情况生成快照(如图5)。
图5
然后安装程序,运行一段时间后,将程序卸载掉,切换回Regshot程序。点击界面中的“摄取2”→“摄取并存档”命令,程序开始扫描程序卸载后的系统文件及注册表情况并生成快照文件。
2.快照对比
点击“比较”按钮,程序开始对比两次快照文件的不同,对比完毕自动打开比较记录文件。可以看到程序卸载后,未在硬盘中保留其它多余的文件,但是那个注册表键值还保留着的(如图6)。
图6
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。