【问题4】 入侵程序可以通过修改Windows操作系统的 (6) 、 (7) 文件或修改系统中的相关注册表项实现系统启动时自动加载。通过运行Windows操作系统中的 (8) 命令,可以启动注册表编辑器来对注册表进行维护。 (6)、(7)A.system.ini B.shell.ini C.win.ini D.autoexec.ini
参考答案:
解析:【问题4】 (6)A或system.ini (7)C或win.ini (6)、(7)可以互换 (8)regedit
[分析]:【问题4】 基于Windows的木马程序一般采用启动时自动加载应用程序的方法,主要包括下面两种方法。 (1)修改win.ini和system.ini系统配置文件。查看win.ini和system.ini文件是否有被修改的地方。例如,有的木马通过修改win.ini文件中windows节的load=file.exe, run=file.exe语句进行自动加载。此外可以修改system.ini中的boot节,实现木马加载。例如“妖之吻”病毒,将Shell=Explorer.exe(Windows系统的图形界面命令解释器)修改为Shell=yzw.exe,在计算机每次启动后就自动运行程序yzw.exe。修改的方法是将 shell=yzw.exe还原为shell=explorer.exe即可。 (2)修改注册表项。如果木马自动加载的文件是直接通过在Windows菜单上自定义添加的,一般都会放在主菜单的“开始→程序→启动”处,在Windows 98资源管理器里的位置是“C:\windows\start menu\programs\启动”处。通过这种方式使文件自动加载时,一般都会将其存放在注册表中下述4个位置上。 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer Shell Folders HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion Explorer\User Shell Folders HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Explorer User Shell Folders HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer Shell Folders 因此,在Windows 98系统下,还可以直接运行Msconfig命令来查看启动程序和 system.ini、win.ini、autoexec.bat等文件。