一个人客栈--显示贴子

以文本方式查看主题

-  一个人客栈  (http://www.ygrclub.com)
--  『计算机天地』  (http://www.ygrclub.com/bbs/list.asp?boardid=25)
----  巧解恶意代码[转帖]  (http://www.ygrclub.com/dispbbs.asp?boardid=25&rootid=5740&id=5740)

--  作者：王新
--  发布时间：2002-3-28 22:57:50

--  巧解恶意代码[转帖]
有一天，我在论坛查看帖子，一网友说有一段非常厉害的恶意代码，可以禁止使用你的电脑，仔细查看了代码，发现关键的就是这一句： Shl.RegWrite ("HKCU\Soft-ware\Microsoft\Windows\CurrentVersion\Policies\Explorer\RestrictRun", 1)。
因为当RestrictRun键值是0时，是正常的。但如果其键值是1，那么运行任何程序就会出现以下这句话：“本次*作由于这台计算机的限制而被取消。请与您的系统管理员联系”。
如果真是中了这样的恶意代码，特别是在Windows 2000之下，而你又没有备份注册表，那么想解开它就是很困难的事情了。也许你会尝试一些所知道的方法：打开注册表编辑器吧，不行！使用一些注册表恢复软件吧，也不行！编写一个REG文件导入吧，还不行！写一个INF文件安装吧，不行！总是提示上边的那句话的。让我们用《金山毒霸 2002》来试试看（我们以Windows 2000为例，Windows 98/Me的方法也是一样的）。
首先，在C盘的Windows NT目录中找到Windows系统的注册表编辑器Regedit.exe，然后把它复制到《金山毒霸2002》的安装目录中去。
然后把安装目录中的Watcher.exe改名为任意名字，比如说是Watcher1.exe吧。之后再把刚才复制到安装目录的注册表编辑器Regedit.exe改名字为Watcher.exe。
跟着随便找到一个文件夹，用右键单击文件夹，选择《金山毒霸》查毒，那么这时候你会发现《金山毒霸2002》的主程序调用出来了，查毒完毕之后你就马上单击控制中心的［病毒防火墙］按钮（如图）。这时候你发现了什么呢？原来打开的不是金山毒霸防火墙，而是注册表编辑器，OK！找到让恶意代码修改的项目，把那个键值改为0，重启电脑，你就会发现原来打不开的所有程序都可以畅通无阻地打开了。
最后再把那个由注册表编辑器改的Watcher.exe删除，把Watcher1.exe改回Watcher.exe就大功告成了。
其实这个方法就是利用了《金山毒霸》主程序加载防火墙文件Watcher.exe，而巧妙地把防火墙文件改为注册表编辑器之后就可以成功打开注册表编辑器了。

--  作者：凝幽
--  发布时间：2002-3-28 23:09:36

--
嗯。。谢谢。。

--  作者：凌云
--  发布时间：2002-3-29 5:49:36

--
高手，你懂的知识真多，可以交的朋友吗/?我很想和你学习的:)

--  作者：王新
--  发布时间：2002-3-29 12:36:07

--
互相学习，共同进步，追赶信息