一招搞定几万种木马----→ 注册表权限设置.更新8.6

一招搞定几万种木马----→ 注册表权限设置.更新8.6

提醒：权限设置之前请务必确保你的系统非常干净，没有问题。

1、文件关联
     正常情况下，系统最重要的扩展名：EXE、COM 、PIF、BAT 、SCR、TXT 、INI、INF 、CHM，它们的值（打开方式）是不变的。而很多病毒木马会修改它们的打开方式，这样可以达到病毒木马程序跟随您打开的那种文件类型一起启动，而你根本不会知道。现在有很多工具可以查看这些扩展名是否被修改，如下图，这是SRENG 程序显示的文件关联，当我们发现某一扩展名的状态是错误的时候，我们可以直接勾选上它，然后修复。
     但 当我们发现的时候可能已经迟了。举个例子，exe文件的打开方式是 "%1"%* 。如果被修改成trogan.exe   "%1"%*, 那么你每次运行程序的时候，这个trogan.exe就会被执行。我们在使用安全辅助软件（比如说sreng）清除病毒的时候经常会建议朋友

QUOTE:

当sreng.exe不能打开，请将它修改为dgs.com；仍然打不开，请修改为dss.pif；仍然打不开，请修改为fwa.bat；还不行吗，那请你修改为daews.scr；还不行......
难道这么多扩展名的打开方式都被修改了吗..靠！

****

***

**

*

下面就有非常好的方法，不让病毒修改这些扩展名 --------→Regedit 权限

步骤：
1、开始 → 运行 → regedit

2、定位到 HKEY_CLASSES_ROOT\.exe，右击，点击 “权限”。

3、对权限进行设置，如下图：<请务必注意 读取权限一点要勾选上，否则该扩展名的文件你是打不开的.>

完成后确定。

对下面的主键依次第2步和第3步操作

HKEY_CLASSES_ROOT\.exe
HKEY_CLASSES_ROOT\exefile

HKEY_CLASSES_ROOT\.txt
HKEY_CLASSES_ROOT\txtfile

HKEY_CLASSES_ROOT\.com
HKEY_CLASSES_ROOT\comfile

HKEY_CLASSES_ROOT\.reg
HKEY_CLASSES_ROOT\regfile

HKEY_CLASSES_ROOT\.bat
HKEY_CLASSES_ROOT\batfile

HKEY_CLASSES_ROOT\.scr
HKEY_CLASSES_ROOT\scrfile

HKEY_CLASSES_ROOT\.ini
HKEY_CLASSES_ROOT\.inifile

HKEY_CLASSES_ROOT\.inf
HKEY_CLASSES_ROOT\.infile

关于文件关联部分设置结束。

本人小心得：如果上面这些权限您不设置，我建议你重新注册一个扩展名，它的效果和EXE格式一样，如下我自己设置了一个AXA扩展名：

注：〖1、将下面代码axa换成任意字母组合都可以，把axa替换成你想要的扩展名〗
        〖2、复制到记事本后，最后一行尾必须换行〗

[Copy to clipboard][ - ]

CODE:

REGEDIT4
[HKEY_CLASSES_ROOT\.axa]
@="axafile"
"Content Type"="application/x-msdownload"
[HKEY_CLASSES_ROOT\.axa\PersistentHandler]
@="{098f2470-bae0-11cd-b579-08002b30bfeb}"
[HKEY_CLASSES_ROOT\axafile]
@="应用程序"
"EditFlags"=hex:38,07,00,00
"TileInfo"="prop:FileDescription;Company;FileVersion"
"InfoTip"="prop:FileDescription;Company;FileVersion;Create;Size"
[HKEY_CLASSES_ROOT\axafile\DefaultIcon]
@="%1"
[HKEY_CLASSES_ROOT\axafile\shell]
[HKEY_CLASSES_ROOT\axafile\shell\open]
"EditFlags"=hex:00,00,00,00
[HKEY_CLASSES_ROOT\axafile\shell\open\command]
@="\"%1\" %*"
[HKEY_CLASSES_ROOT\axafile\shell\runas]
[HKEY_CLASSES_ROOT\axafile\shell\runas\command]
@="\"%1\" %*"
[HKEY_CLASSES_ROOT\axafile\shellex]
[HKEY_CLASSES_ROOT\axafile\shellex\DropHandler]
@="{86C86720-42A0-1069-A2E8-08002B30309D}"
[HKEY_CLASSES_ROOT\axafile\shellex\PropertySheetHandlers]
[HKEY_CLASSES_ROOT\axafile\shellex\PropertySheetHandlers\PifProps]
@="{86F19A00-42A0-1069-A2E9-08002B30309D}"
[HKEY_CLASSES_ROOT\axafile\shellex\PropertySheetHandlers\ShimLayer Property Page]
@="{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}"
[HKEY_CLASSES_ROOT\axafile\shellex\PropertySheetHandlers\{B41DB860-8EE4-11D2-9906-E49FADC173CA}]
@=""

将上面代码保存为reg文件，导入注册表后，你将某SRENG程序扩展名修改为AXA，可以启动，这样病毒木马修改了所有重要的扩展名，它也不可能想到AXA，要是你问，它想到怎么办..........哎，再想办法吧。

--------------------------------------------------

2、AppInit_DLLs   -----→ 一个未知的系统启动项正在被修改

        论坛中有很多人发这样的帖子。Appinit_dlls 被修改，一个未知的系统启动项被修改。

使用sreng查看启动项发现appinit_dlls.

        关于Appinit_dlls的官方解释： 文章编号：197571 使用 AppInit_DLLs 注册表值，从widows知识库文章中看出windows XP系统基本不需要使用Appinit_dlls， 但很多病毒木马仍玩这技术，汗！

        Appinit_dlls 在注册表中的位置：

       HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
      
正常情况下，下面没有Appinit_dlls 键名，如果你发现有的话那肯定是有问题的。
       
       同样，使用上面权限设置的方法将 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows 设置下。

-------------------------------------

3、Explorer浏览器.. 部分参考电脑爱好者<我比较喜欢的杂志>

       我们经常会在网上看到关于介绍Firefox等非微软浏览器，它们最大的看点就是安全性好，它们安全性真的象描叙的那样美好吗？比如，4月份的ANI漏洞，由于Firefox使用的也是微软提供的ANI文件解释引擎，所以在firefox中也存在同样的漏洞。当然，因Firefox等浏览器市场占有率较低，漏洞相对被发现的可能性就小，从这层面上讲，它还是安全的，所以我会经常建议我身边的朋友试试Firefox浏览器，特别是IE漏洞被发现但没有补丁出现的时候。

       (小花絮：今年5月份某一天，处长<作风正派，无不良嗜好，不上黄网，不玩游戏，只要正规网站看看新闻>打电话过来说电脑中毒，领导发话，我赶快一路小跑过去。症状是这样的：打开网页没什么问题，但只要登陆邮箱江民2007杀毒软件就会提示临时文件夹下某某病毒，删除否......根据经验，直接到江民网站搜索该病毒介绍，从江民介绍看，该病毒利用了IE漏洞，危险级别低，考虑领导工作繁忙，我建议领导使用Firefox浏览器，安装后，简单介绍使用方法，并告诉他过几天等IE漏洞修补后就可以再用ie浏览器了，领导似懂非懂的点点头。噩梦终于来了，由于使用习惯问题，领导一天N个电话，下载问题啊..收藏夹问题啊....我就被折腾死了..)，习惯IE浏览器的样子，虽然是黄脸婆<领导的老婆哈>...
      为了上网能够安全点，请继续往下看。

      如果你习惯使用USER帐号登陆系统，那这篇文章你就不需要看了...

      仍然使用系统默认帐号（系统管理员）登陆系统的，建议你继续看下去，下面的介绍可以减少你以后的麻烦，比如说浏览网页的时候时不时跳出广告，总会提示你安装插件、网页右键被修复、主页被锁定.....

      第一步 首先，进入Internet选项，设置好各选项。

          1、在"常规"里面，将首页设置好。

          2、进入"安全"设置，如下图：

         默认情况下，Internet安全级别是中等，受信任的站点安全级别低，受限制的站点级别最高。

         目前被“挂马”的网页，主要是通过以下两种方式。其一，是使用i-frame-X（内联框架）<大旗网使用这样技术>把带木马的网页隐藏嵌入到正常网页，其二，使用Js脚本实现木马的下载。

                       ○ 禁止 内联框架 ，选择上图中第一个图标 - "Internet"，点击 "自定义级别.." ，定位到下面图，禁止掉"跨域浏览子框架"。

                      ○ 禁止JS ，和上面一样，选择上上图中第一个图标 - "Internet"，点击 "自定义级别.." ，定位到下面图，禁止掉"Java 小程序脚本"和"活动脚本"。

          继续在”安全“设置中，将我们信任的网站放进去，特别是上面的禁用会影响的网站<我经常上的大旗网>，如下图：

         差不多了，我们可以进入第二步了。

        第二步，将下面两个分支使用上面的方法设置权限。
       
       HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer
        HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer


--------------------------------

4、Image File Execution Options < 映像劫持 >

        映像劫持   用很专业的话我讲不出来，我和你只需要知道的是：点击安装杀毒软件、点击杀毒软件、杀毒杀马辅助软件启动不了很多情况下是病毒木马修改了这里，我个人认为这个技术的弊远大利。我们只要通过权限设置后，就可以让它休眠。

        映像劫持 在注册表中的位置：

       HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

         使用上面的权限设置方法设置它的权限。

---------------------------------

5、解决点击C盘、D盘、E盘、--、U盘 等出现任何问题

        当你右击D盘，点击打开的时候，你会觉得它有问题吗？
        当你选择资源管理器的时候，你能肯定安全的吗？
    ★当你关闭了自动播放，双击U盘的时候，你觉得autorun病毒不会发作吗？★

        下面的图显示一般情况下我们右击磁盘后显示的菜单和注册表中的对应值。

           病毒木马真是厉害，每个细节它都不放过，它可能修改注册表伪造"打开"、伪造"资源管理器"，这不是危言耸听。当我们不加考虑的点击磁盘后，它悄悄的启动了。

           上面我打了★的，请你要引起重视，即使你关闭了自动播放，插入一个带毒的的U盘，你也会中招，这是因为病毒修改了HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2这里面的东西，具体怎么修改我现在还不知道。但我告诉通过注册表的权限设置，病毒的的确确的破坏不了磁盘打开方式了，哦..来吧。

          使用上面的权限设置方法设置它们的权限，注册表位置：

         HKEY_CLASSES_ROOT\Drive
          HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2

---------------------------------

6、解决 " 通过 “运行” 导致误运行病毒问题 "

        当你自信的在如下框子里面输入 regedit 时，你是否觉得你在运行病毒？

         在以下两种情况，你会误运行病毒。

          ○ 注册表定位在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths下，如下图修改注册表项，看在上面的运行框中，运行regedit后是什么。

          ○ 在HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\Environment，在下图的path的值里面，最前面加一个“ d:\system; ” ，然后在D盘下建一个system文件夹，里面放一个执行文件，将他的名字修改为regedit.exe，然后在上面的运行框里面输入regedit运行后，发现运行了什么？

通过上的例子我强力建议使用上面的权限设置限制以下两个路径。

       HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths
        HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\Environment