危险漫步博客
新鲜的“黑客思维”就是从全新的角度看待黑客技术,从更高的层面去思考;专注于黑客精神及技术交流分享的独立博客。
文章2289 浏览18790814

巧秒利用文件关联防御病毒

为了防止病毒入侵,危险漫步通常依靠杀毒软件来保卫系统安全。但是,杀毒软件的发展实际上是落后与病毒的,往往是新型病毒出现之后,杀毒软件才被动的升级,之后才能查杀该病毒。如果您没有及时升级病毒库,那么杀毒软件可以说形同虚设。其实,我们完全可以另辟思路。来应对未知病毒的入侵。因为病毒侵入系统后,首先是非法取得启动权,之后会对各种可执行文件(例如Exe、Com、Dll、Pif等)进行感染,达到其传播的目的。实际上,如果我们可以巧妙的更改文件关联,让病毒找不到侵袭的目标,不久可以让其“英雄无用武之地”了吗?这不是为一种独特的主动防御手段。本文就简单的分析其实现方法。

我们知道,当病毒侵入系统后,往往直接对各种可执行文件“下手”,不过很多病毒在感染前并没有对执行文件进行检测,而是直接根据其扩展名来进行确定文件的“身份”。因此,通过更改文件关联的办法就可以躲过病毒的侵袭,而且可以避免病毒通过文件关联来发作的目的。实际上,在Windows中是可以自由定义可执行文件的后缀的。在资源管理器中点击菜单“工具”一“文件夹选项”,在弹出窗口打开文件类型面板,在其中点击“新建”按钮,在弹出的对话框中随便输入新的后缀名(例如“yun”),当然不能和存在的扩展名重复。点击“高级”按钮,在“关联的文件类型”列表中选择关联的文件类型,这里选择“应用程序”项,表示和可执行文件建立关联,之后点击确认按钮保存配置。在资源管理器中任选一个exe执行程序,将其后缀改为“yun”,然后双击就可以执行该程序了。这样某些病毒遇到该“.yun”文件时,就可能将作为普通文件而忽略了。实际上,您也可以编辑一个注册表文件来实现上述操作,在记事将其保存为“newexe.reg”,直接双击该文件就可以创建与可执行文件的关联了。当然,您完全可以将其中的“exefile”更改为“comfile”等其它的可执行文件类型,进而更改相关的文件关联

但是,现在很多病毒都采取了将自身关联到特定文件类型的方法,来达到激活的目的。虽然我们这里将“yun”关联到可执行文件类型上,但是如果病毒也将自身关联到“yun”类型上,那就无济于事了。对于这种情况,可以采取替换“exefile”标识的办法加以解决。

之后将其保存为“yunfile.reg”文件,双击后即可创建和“exe file”标识完全相同的“yunfile”标识。上述代码实际上很简单,就是将注册表编辑器中的“HKEY CLASSES ROOTVexefile”路径导出,并将其中的“exefile”全部更换为“yunfile”即可。之后需要对上述“newexe.reg”文件进行相应修改:这样重新双击“newexe.reg”文件,就会在注册表文件关联中使用“yunfile”替换“exefile”标识。这样在资源管理器中将选中的任意exe文件的后缀更改为“yun”,照样可以正常执行,而且也不怕病毒和exe文件建立关联了,因为“exefile”标识已经不存在了。实际上,按照上述想法,我们完全可以“开发”一种全新的防毒方法。首先在注册表编辑器中找到“HKEY—CLASSES__ ROOT\exefile”分之,将其导出为单独的文件进行备份。之后在注册表中选中该分支,在右侧窗口中双击“默认”项,在弹出的编辑窗口中将“数值数据”更改为不存在的文件关联(例如“None file”等),之后重新启动电脑,在Windows重新启动后,在桌面上就会打开很多记事本窗口,这是因为exe文件的关联变成了无效的项目,很多自动运行的程序都无法运行了(其中也包括病毒程序),于是Windows就使用记事本将上述

程序逐一打开,这样就连病毒也无法启动了。在打开的记事本中很容易找到可疑程序,将其内容清空后保存,即可彻底清楚可疑程序。当然,之后还需要导入上述保存的注册表文件,这样就可以恢复正常程序的执行操作,我是危险漫步,请大家多多支持。

相关推荐