如何判斷操作系統(tǒng)配置文件System.ini是否被黑窖改動?
在Windows NT及Windows 2000服務(wù)器操作系統(tǒng)中,操作系統(tǒng)配置文件 System.ini是為了兼容某些Win 32(16位)應(yīng)用程序而保留的,但是黑客可以通過更改Boot項的Shell字段和386Enh項的Mic、drivers和drivers32字段來加載惡意的驅(qū)動程序從而使得惡意程序在系統(tǒng)啟動的時候被運行。因此,當(dāng)管理員發(fā)現(xiàn)自己的運行系統(tǒng)異常時,可以檢查該文件是否正常,木馬通常的做法是將該句變?yōu)閟hell=Explorer.exe黑客.exe,這里的“黑客.exe”就是木馬服務(wù)端程序。此外,還要注意檢查在“driver=路徑程序名”中包含的路徑是否可疑。
如何判斷操作系統(tǒng)配置文件Win.ini是否被黑窖改動?
在Windows NT及Windows 2000服務(wù)器操作系統(tǒng)中,操作系統(tǒng)配置文件Win.ini是為了兼容某些Win32(16位)應(yīng)用程序而保留的,但是黑客可以通過更改Load項和Run項從而使得惡意程序在系統(tǒng)啟動的時候被運行。因此,當(dāng)管理員發(fā)現(xiàn)自己的運行系統(tǒng)異常時,可以檢查該文件是否正常。如果Load和Run項中包含內(nèi)容,建議刪除該內(nèi)容,因為默認(rèn)Load項和Run項的內(nèi)容是為空的。如果沒有把握可以刪除該項內(nèi)容,也可以使用殺毒軟件查殺該項連接文件是否包含病毒或者惡意程序。
