如何判斷操作系統(tǒng)配置文件System.ini是否被黑窖改動(dòng)?
在Windows NT及Windows 2000服務(wù)器操作系統(tǒng)中,操作系統(tǒng)配置文件 System.ini是為了兼容某些Win 32(16位)應(yīng)用程序而保留的,但是黑客可以通過更改Boot項(xiàng)的Shell字段和386Enh項(xiàng)的Mic、drivers和drivers32字段來加載惡意的驅(qū)動(dòng)程序從而使得惡意程序在系統(tǒng)啟動(dòng)的時(shí)候被運(yùn)行。因此,當(dāng)管理員發(fā)現(xiàn)自己的運(yùn)行系統(tǒng)異常時(shí),可以檢查該文件是否正常,木馬通常的做法是將該句變?yōu)閟hell=Explorer.exe黑客.exe,這里的“黑客.exe”就是木馬服務(wù)端程序。此外,還要注意檢查在“driver=路徑程序名”中包含的路徑是否可疑。
如何判斷操作系統(tǒng)配置文件Win.ini是否被黑窖改動(dòng)?
在Windows NT及Windows 2000服務(wù)器操作系統(tǒng)中,操作系統(tǒng)配置文件Win.ini是為了兼容某些Win32(16位)應(yīng)用程序而保留的,但是黑客可以通過更改Load項(xiàng)和Run項(xiàng)從而使得惡意程序在系統(tǒng)啟動(dòng)的時(shí)候被運(yùn)行。因此,當(dāng)管理員發(fā)現(xiàn)自己的運(yùn)行系統(tǒng)異常時(shí),可以檢查該文件是否正常。如果Load和Run項(xiàng)中包含內(nèi)容,建議刪除該內(nèi)容,因?yàn)槟J(rèn)Load項(xiàng)和Run項(xiàng)的內(nèi)容是為空的。如果沒有把握可以刪除該項(xiàng)內(nèi)容,也可以使用殺毒軟件查殺該項(xiàng)連接文件是否包含病毒或者惡意程序。
