今天的课程打算把所有启动位置讲完,以及一些特殊的启动方式,算是比较高级了,学完本课,与反病毒相关的基础也就差不多了,接下来的课程重在实践了,手工杀毒,日志分析等.

一,组件关联启动
上次讲到了勾子挂接启动ShellExecuteHooks,这次来讲讲组件关联启动,注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
名称任意,值为一CLSID,该CLSID是指向HKEY_CLASSES_ROOT\CLSID下面同名的对象(组件类)的,在InProcServer32的右边可以看到关联的文件名(通常是DLL文件).系统启动时explorer.exe将自动加载这里的目标组件.这就是某些病毒将自己注入到explorer.exe的办法,多见于一些流氓软件.用了很多清理软件,但还是会弹出广告等,这时就要检查这个位置了,清理方法ShellExecuteHooks是一样的,最后不要忘了删除关联的文件.

二,结束Winlogon.exe进程
以前我们在讲进程时曾经讲到过Winlogon.exe进程,它管理windows的登陆注销等,如果这个进程被结束,系统将不能正常软关机.也许你会说这个进程根本无法结束,或一结束就蓝屏死机等.用windows任务管理器当然是不行的,我用了冰刃(IceSword)来结束它,不要直接试图去结束这个进程,不然你会死得很惨,结束这个进程是需要技巧的,在此感谢菜新同学(cxwr,雷特反病毒小组成员之一)的指点,方法如下:
首先打开冰刃,点左边的进程.我用的冰刃是花花(FlowerCode)修改版的.(见附件)
冰刃的功能是十分强大的,看一下程序名称这一列,直接显示出了进程所对应的文件路径,其中两个进程的程序名称是特殊的,显示为NT OS Kernel,意为NT操作系统内核.

正式开始前请退出你的安全防护软件,以免引起蓝屏.
先结束所有非系统进程,由于冰刃不显示进程所属用户名,大家可以打开windows任务管理器对照,你可以用任务管理器来结束进程,也可以用冰刃来结束进程,用冰刃结束进程的方法为选要要结束的进程,右键选择结束进程即可.接着结束svchost.exe,services.exe等进程,当进程只剩下图中所示的几个时,就要注意了,一不小心就会死得很惨的.