近期网络上出现很多替换系统文件的病毒,有些病毒会替换系统加载或用户登录Windows界面时运行的系统程序,因此这类病毒比较难杀。
目前常见病毒:
1、替换userinit.exe
2、替换explorer.exe
如何防范此类病毒呢?其实,系统本身具有保护系统程序不被篡改的防护机制——windows文件保护。
关于“windows文件保护”的详细介绍见:http://support.microsoft.com/kb/222193。
电脑中毒,系统程序被病毒替换的原因是用户没有开启“windows文件保护”,或者未完全执行“windows文件保护”步骤中的sfc/scannow。
最近,帮朋友解决一个usreinit.exe被病毒替换的中毒案例时,查看其dllcache文件夹,发现其中只有212个文件(图1),显然此系统未完全执行过sfc/scannow。
图1
搞定病毒后,帮其完成“windows文件保护”。步骤如下:
1、点击“开始”、“运行”。
2、键入cmd,按回车。
3、键入sfc/scannow,按回车(图2)。
图2
4、耐心等待windows文件保护扫描完成。
5、完成windows文件保护扫描后,再检查以下dllcache文件夹(受保护的系统文件缓存处),发现文件数目达3340个。
6、最后,再查看一下“组策略”中的相应设置(图3)。
图3
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
相关推荐
-
GhostHook是如何绕过微软PatchGuard的?
GhostHook攻击技术可绕过微软的PatchGuard,不过微软还没有修复这一漏洞。在本文中,专家Michael Cobb解释了这种攻击的工作机制。
-
为何Windows快捷方式文件容易受到攻击?
微软Windows中的一个漏洞可使攻击者在快捷方式文件中自动执行代码,这个攻击的工作原理是什么,如何防范?
-
Windows现漏洞 可绕过AppLocker白名单实施攻击
安全研究人员发现,通过使用Windows命令行使用程序(可追溯到Windows XP),基于Windows AppLocker的应用白名单保护可以被绕过。
-
微软发布紧急安全补丁 救IE于水深火热中
在微软星期二补丁日的一周后,微软再次发布紧急安全补丁,旨在修复IE浏览器中的严重漏洞,该漏洞影响所有版本Windows和Windows服务器。