深度曝光病毒特殊啟動方式

郭建偉

當病毒侵入系統后，絕不會老老實實地藏在某個角落睡大覺，而是“琢磨”著如何渾水摸魚獲得運行權，達到其為非作歹的目的。幾乎所有的病毒都會將自身藏匿到各種啟動項中，這樣當系統啟動后，病毒就可以堂而皇之的運行了。不過，病毒的這些常規的啟動模式，已經為大家所了解，為了擺脫追捕，越來越多新型病毒逐漸“摒棄”常規的啟動方式，而是采取了非常規的更加隱蔽的啟動方式，對系統進行更加陰險的侵襲。如何才能識破病毒的伎倆，讓其成為過街老鼠無處藏身呢？本文就從多個方面對其進行了分析講解，希望在與病毒的實際斗爭中助您一臂之力，及時截斷病毒啟動的通道，使其無法繼續危害您的系統。

1.在系統內核啟動前加載病毒程序

有些病毒會在系統內核啟動前就能加載運行，例如當Windows出現嚴重錯誤導致藍屏時，按Reset鍵重新啟動電腦，在系統還未進入正常運行前，就激活了病毒程序，對系統進行破壞。其自動加載原理是在注冊表的“HKEY_LOCAL_MACHINE＼SYSTEM＼CurrentControlSet＼Control＼Session Manager”下的“BootExellte”鍵值名中寫入病毒程序路徑程序。當然，可以在其后跟隨更多的程序項。當然，這些病毒程序都經過特殊編程，在Windows的CMD窗口中是無法運行的。對付這類病毒，只要進入上述注冊表路徑，將“BootExecute”鍵值名中的病毒程序清空，并據此刪除病毒程序即可。

2.謹防病毒綁架任務管理器

對進程進行管理，離不開任務管理器。和任務管理器對應的程序為“taskmgr.exe”，位于“c：＼Windows＼system32”，“C：＼Windows＼SvsWOW64”等系統文件夾中。當病毒采取偷梁換柱的方法，對其進行了替換后，只要用戶按下“Ctrl+Ah+Delete”鍵，就會自動激活病毒。例如，當病毒潛入系統后，將自身復制到了“C：＼Windows”路徑下，先將原系統文件夾中的“taskmgr.exe”進行更名處理（例如將其改名為“taskmgr0.exe”），之后釋放出真正的病毒程序并命名為“taskmgr.exe”，然后執行自刪除操作，刪除原病毒程序。當用戶習慣性的按下“Ctrl+Alt+Delete”鍵，病毒程序就自動激活了，開始執行預設的破壞操作，同時還會從網上下載運行更多的病毒木馬。其狡猾之處在于還會調用運行“taskmgr0.exe”，給人以任務管理器正常打開的假象。對于這類病毒，只需將虛假的“taskmgr.exe”刪除，并恢復正常的“taskmgr.exe”，就可以讓其失去活力。

3.利用組策略實現自啟動

有些病毒會躲進組策略中，實現自動運行。對于這類病毒，只需在“開始”→“運行”中運行“Gpedit.msc”，在組策略窗口中依次展開“本地計算機策略”→“計算機配置”→“管理模塊”→“系統”→“登錄”，在右側窗體雙擊“在用戶登錄時運行這些程序”，在屬性窗口中如果發現已經激活了“已啟用”項，就表示有程序隱藏在其中非法運行了。點擊“顯示”按鈕，可以瀏覽所有自動運行的程序項，從中找到病毒啟動項，將其刪除即可。

4.利用系統服務實現自運行

很多病毒都喜歡將自身注冊為系統服務，來獲得更高的運行權限。只要系統啟動后，這些病毒服務就會搶先啟動。運行“services.msc”程序，在服務列表管理器中查看相關的服務項目，如果發現有的服務的描述信息是空白或者全英文的，內容看起來很奇怪，則多半是病毒程序所為。雙擊相應的服務名稱，在其屬性窗口中將其啟動方式改為手動，即可阻止其非法加載運行。

如果不太容易發現病毒服務名，可以在任務管理器中查找病毒程序名稱，之后運行注冊表編輯器，選中“HKEY_LOCAL_MACHINE＼SYSTEM＼CurrentControlSet＼Services”分支，點擊“Ctrl+F”鍵打開搜索窗口，根據程序名在搜尋與之關聯的主鍵后，找到之后在該主鍵右側的“ImagePath”鍵值名中顯示病毒程序的具體位置，在“Start”鍵值名中顯示啟動方式，將其設置為“3”或“4”，即可禁止其自動運行。根據得到的病毒程序路徑，就可以手工或者使用專用安全工具，將其徹底刪除。

對于有些狡猾的病毒來說，為了達到隱蔽運行的目的，會采用系Rootkit等技術，將自身創建為隱藏的服務，通過掛鉤系統本地調用實現自身的隱藏，通過系統的服務管理器是看不到這些隱藏服務的。從而實現在Windows啟動前悄然加載，逃避用戶查殺的目的。使用Knlsc這款小巧精悍的軟件，可以讓隱藏的服務“徹底現身”。Knlsc的使用方法很簡單，將壓縮包解開后，找到其中的Knlsc13.exe3C件。在CMD窗口中運行命令“knlsc13.exe-f”，就能顯示出隱藏的服務，顯示格式為“服務名服務顯示名「類型」「啟動方式」[時間戳]服務程序全路徑服務Dll全路徑（共享進程的服務才有此項）”。如果發現有隱藏服務（假設服務名是“Windll”），只需運行命令“knlscl3.exe

cdWindll”，即可禁用該隱藏服務。

5.利用注冊表li蔽位置自啟動

實際上，在注冊表中除了常見的啟動項位置外，還有一些地方可以實現隱蔽啟動預設程序的功能。如果被病毒加以利用，其危害就不言而喻了。例如病毒可以在注冊表編輯器中選擇“HKEY_CURRENT_USER＼Software＼Microsoft＼Windows NT＼CurrentVersion＼Windows”，在其下的“Load”鍵值名中存儲病毒程序路徑，這樣在系統啟動時，病毒就會自動運行。值得注意的是，這里的文件路徑遵循的是Dos路徑命名規則。例如從“C：＼Program files”應寫成“C：＼Progra-1”等。

有些病毒，木馬喜歡利用ActiveX方式啟動，來避開殺軟的追捕。例如對于某款木馬來說，會同時使用ActiveX啟動和注冊表啟動項兩種啟動方式，不僅可以深度隱藏自身，插入其他合法進程，而且可以突破常用虛擬機和沙箱安全軟件。當該木馬激活后，打開注冊表編輯器，在“HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Active Setup＼InstalledComponents”路徑，在其下有很多以GUID字符串命名的鍵值，病毒木馬就會利用ActiceX組件的身份隱藏其中，例如打開“{00000042-CC51—11cF-AAFA一00AA0086015B}”分支，在右側雙擊“StubPath”鍵值名，可以看到該病毒木馬真實的啟動路徑，本例為“C：＼WINDOWS＼svstem32＼server.exe Restart”，可以看到病毒偽裝成了“server.exe”程序。

打開注冊表編輯器，展開“HKEY—LOCAL—MACHINE＼SOFTWARE＼Microsoft＼Windows NT＼CurrentVersion＼Winlogon”分支，在窗口右側雙擊“Shell”鍵值名，查看其內容是否為“Explorer.exe”。如果不是的話，說明病毒程序已經替換了正常的“Explorer.exe”程序，在下次啟動時，病毒不僅會自動啟動而且會破壞了桌面和任務欄。如果在“Explorer.exe”中跟隨有其它程序，則很有可能是病毒所為，病毒通過這種加載方式，可以實現隱蔽啟動。在上述分支下還存在名稱為“userinit”的鍵值名，其原始內容為“C：＼WINDOWS＼system32＼userinit.exe，”如果病毒程序添加在該命令行之后，同樣可以實現自動運行的目的。上述分支下的名為“logonui，exe”的鍵值名也應引起注意，其原始內容為“logonui.exe”，該程序主要用于控制開關機畫面，如果病毒程序對其進行了替換，就可以實現自動激活操作，但是電腦也無法重新啟動和關閉待機，注銷賬戶也會出現問題。

6.警惕虛假的文件擴展名

對于常見的病毒木馬來說，其主程序都是EXE，DLL，VBS，BAT等可執行文件。為了逃避用戶追查，有些狡猾的病毒將自身的擴展名改成別的類型，來欺騙用戶。例如，病毒會將自身更改為RAR3C件，直接雙擊該文件，自然無法啟動病毒，因為其是由EXE文件修改而來的。病毒為了欺騙用戶，會編寫一個批處理文件，將其取一個頗為迷惑人的名字（例如“補丁修復.bat”文件等），在其中利用“start”命令，來啟動上述虛假的RAR文件，例如其內容包括“@echo系統漏洞保護系統安全”“@pause”“@echo off”“start XXX.Far”“exit”等，其中的“xxx.rar”假設為病毒修改名稱后的虛假RAR文件，之后將上述兩個文件打包壓縮。

當用戶下載該壓縮包后，直接雙擊其中的“xxx.Far”文件，自然無法打開。只要運行了其中的“補丁修復bat”文件，當被其顯示信息所迷惑，點擊任意一下鍵盤，該腳本就會使用“start”命令運行病毒文件，之后退出批處理文件。因為已經關閉了回顯功能，所以是能看到運行程序的信息的。病毒激活后會自動從網上下載更多的惡意程序，對系統進行進一步破壞。因為病毒修改了擴展名，偽裝成了合法的文件，并且啟動的方法很特別，才容易得手的。

其實，這種運行方法原理很簡單，例如將“x.exe”改名為“x.rar”，雙擊后自然無法運行。但是在CMD窗口中運行“x.rar”文件，卻可以順利運行該程序。另外一個角度思考，因為在Windows中存在很多文件類型，如果病毒采用這種伎倆，偽裝成其他文件類型來隱蔽啟動的話，的確對系統威脅很大。對付這類病毒，防御起來也不難，只要遇到看似正常的文件無法正常打開或者運行，并且有其他腳本程序與之配合的話，只要使用記事本查看其內容，就不難發現其中的問題。

不過，有些病毒會采用特殊的方式，來偽造擴展名。例如某個名為“ziliaoexe.txt”的文件看起來似乎是個文本文件，其實不然，這是黑客精心設計的自解壓包，里面包含病毒程序。黑客利用了Unicode控制字符倒序排列的方法，將EXE文件后綴變成了TXT格式。其名稱實際上為“ziliaotxt.exe”，黑客執行文件更名操作，將光標移到“jiqiao”和“txt”之間，然后在其右鍵菜單中點擊“插入Unicode控制字符”→“RLOStart of right-to-left override”項，這個EXE文件就變成了TXT格式了。而且黑客在制作該病毒自解壓包時，使用了文本圖標替換正常的自解壓文件圖標，使其看起來更像文本文件，并利用某款專用RAR文件修復補丁程序，屏蔽了其RAR右鍵菜單顯示功能。如果用戶被蒙蔽運行了該病毒自解壓包，隱藏在其中的病毒就會被激活。看來，一旦接收到看起來似乎很正常的文件，一定要提高警惕，最好不要輕易運行。應該在虛擬機、Shadow Defender等安全環境中運行，來查看其是否具有破壞作用。