|
|
 |
|
***是隨計算機或Windows的啓動而啓動並掌握一定的控制權的,其啓動方式可謂多種多樣,通過註冊表啓動、通過System.ini啓動、通過某些特定程序啓動等,真是防不勝防。其實只要能夠遏制住不讓它啓動,***就沒什麼用了,這裏就簡單說說***的啓動方式,知己知彼百戰不殆嘛。 一、通過"開始\程序\啓動" 隱蔽性:2星 應用程度:較低 這也是一種很常見的方式,很多正常的程序都用它,大家常用的QQ就是用這種方式實現自啓動的,但***卻很少用它。因爲啓動組的每人會會出現在“系統配置實用程序”(msconfig.exe,以下簡稱msconfig)中。事實上,出現在“開始”菜單的“程序\啓動”中足以引起菜鳥的注意,所以,相信不會有***用這種啓動方式。 二、通過Win.ini文件 隱蔽性:3星 應用程度:較低 應用案例:Asylum 同啓動組一樣,這也是從Windows3.2開始就可以使用的方法,是從Win16遺傳到Win32的。在Windows3.2中,Win.ini就相當於Windows9x中的註冊表,在該文件中的[Windows]域中的load和run項會在Windows啓動時運行,這兩個項目也會出現在msconfig中。而且,在Windows98安裝完成後這兩項就會被Windows的程序使用了,也不很適合***使用。 三、通過註冊表啓動 1、通過HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run, HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run和 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices 隱蔽性:3.5星 應用程度:極高 應用案例:BO2000,GOP,NetSpy,IEthief,冰河…… 這是很多Windows程序都採用的方法,也是***最常用的。使用非常方便,但也容易被人發現,由於其應用太廣,所以幾乎提到***,就會讓人想到這幾個註冊表中的主鍵,通常***會使用最後一個。使用Windows自帶的程序:msconfig或註冊表編輯器(regedit.exe,以下簡稱regedit)都可以將它輕易的刪除,所以這種方法並不十分可靠。但可以在***程序中加一個時間控件,以便實時監視註冊表中自身的啓動鍵值是否存在,一旦發現被刪除,則立即重新寫入,以保證下次Windows啓動時自己能被運行。這樣***程序和註冊表中的啓動鍵值之間形成了一種互相保護的狀態。***程序未中止,啓動鍵值就無法刪除(手工刪除後,***程序又自動添加上了),相反的,不刪除啓動鍵值,下次啓動Windows還會啓動***。怎麼辦呢?其實破解它並不難,即使在沒有任何工具軟件的情況下也能輕易解除這種互相保護。 破解方法:首先,以安全模式啓動Windows,這時,Windows不會加載註冊表中的項目,因此***不會被啓動,相互保護的狀況也就不攻自破了;然後,你就可以刪除註冊表中的鍵值和相應的***程序了。 2、通過HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce, HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce和 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce 隱蔽性:4星 應用程度:較低 應用案例:Happy99 這種方法好像用的人不是很多,但隱蔽性比上一種方法好,它的內容不會出現在msconfig中。在這個鍵值下的項目和上一種相似,會在Windows啓動時啓動,但Windows啓動後,該鍵值下的項目會被清空,因而不易被發現,但是隻能啓動一次,***如何能發揮效果呢? 其實很簡單,不是隻能啓動一次嗎?那***啓動成功後再在這裏添加一次不就行了嗎?在Delphi中這不過3、5行程序。雖說這些項目不會出現在msconfig中,但是在Regedit中卻可以直接將它刪除,那麼***也就從此失效了。 還有一種方法,不是在啓動的時候加而是在退出Windows的時候加,這要求***程序本身要截獲WIndows的消息,當發現關閉Windows消息時,暫停關閉過程,添加註冊表項目,然後纔開始關閉Windows,這樣用Regedit也找不到它的蹤跡了。這種方法也有個缺點,就是一旦Windows異常中止(對於Windows9x這是經常的),***也就失效了。 破解他們的方法也可以用安全模式。 |