The form is to put AUTORUN.inf and **.exeAUTORUN.inf in the root directory of the disk. Usually the contents are as follows: Reference [autorun] shell \ open \ default=1open=* *. exesheLL\exPLORE\CommaND=**。 exesHELL\opeN\coMmand=**。 exeShelL\AUtoPlay\cOmmanD=**。 The extension of the executable program. This is an automatic operation randomly found.
第三方软件的目录下蛋挺新奇的,最近才发布。很多人为了避免在c盘上产生过多的碎片,会选择将第三方软件安装在非系统盘上,尤其是像QQ这样的即时通讯工具,聊天记录非常珍贵。
所以这给了病毒复活的机会。方法是在特定软件中添加一些自制的DLL文件。一般和一些系统dll同名,比如WSOCK32.DLL,和WINDOWS的运行机制有关。
为了提高可执行文件的效率,它会优先考虑这个目录下输入表中需要加载的DLL文件,如果找不到就只在SYSTEM32目录下寻找,这就让一些病毒有机可乘。当您重新安装系统时,
当我开开心心的打开QQ,想找个人聊聊天的时候。悲剧再现。典型代表是JAVQHC和中国吸血鬼(这个东西就是在所有文件夹里放一个WSOCK32.DLL)。说实话,有一点我还是有点搞不清楚。
比如qq的FINEPLUS插件,运行FINEPLUS.exe和QQ.exe后会自动加载FINEPLUS.dll,但删除FINEPLUS.dll后QQ依然可以运行。
本来我觉得应该修改一下可执行文件的输入表。但现在看来,情况似乎并非如此。
3前两种感染方式都有一些猫腻的成分在里面,但是感染无疑可以避免一切意外(除非你只有一个系统盘)。传染分两种:(1)加性传染无非是在节目的开头或结尾加料。
一般来说,在空白部分增加一点等级的程序(但应该只对特定程序有效)还是可以运行的。只要有Okumo在手,一般都能轻松搞定。(2)覆盖感染无疑是最厉害的,理论上讲。根本没有修复的可能,只能删除。
不过说实话,我也不是很清楚原理。我不知道那些病毒覆盖了哪个程序。举个例子,上次我试验了“在线修复KAV”,几个月后我就忘了。重新安装虚拟机后,运行在磁盘D上的SSM安装文件仍然是可执行的。
只是进度条卡在中间了。系统又中毒了。典型代表:熊猫烧香,小浩一般有几个感染规律。1.感染非系统盘的可执行文件。2.正在运行的程序没有被感染。3.压缩包中的程序没有被感染(这不是不可能的,
但是工作量太大了。最重要的是。就是不知道哪个EXE对应哪个RAR文件)
