哪些系统文件和注册表经常被蠕虫和特洛伊木马修改

从计算机病毒的发展趋势，有越来越多的蠕虫和木马病毒。不像文件型病毒通常感染可执行文件，这样的程序通常不感染正常的系统文件，但是自己安装系统的一部分。相比之下，这种病毒更隐蔽是不太可能被检测到用户。

但是不管病毒程序是如何感染系统的，它们都留下了一些线索。

1。更改系统的相关配置文件

这种情况主要是针对旧制度的。

病毒会修改autoexec.bat，只要它被添加到报表执行病毒程序文件自动激活病毒在系统启动。*改变驱动器： Windows WIN.INI或System.ini文件。病毒通常在赢。ini的运行= 的病毒本身后添加到文件名，或者在SYSTEM.INI文件壳= 变化。

两。更改注册表的健康值

目前，只要新蠕虫病毒具有修改系统注册表的功能，它们通常有以下几个地方需要修改。

HKLM 软件微软 Windows currentversion RunOnce

描述：在系统开始时自动执行的程序。

HKLM 软件微软 Windows currentversion runservices

描述：在系统启动时自动执行的系统服务程序。

HKLM 软件微软 Windows currentversion 运行

描述：这是在系统启动时自动执行的程序，这是病毒修改/添加最有可能的地方。例如，Win32。该病毒会增加。B：HKLM 软件微软 Windows currentversion 运行 ucfzyojza = cxsgrhcl.exe autorun

hkey_classes_root 文件外壳休憩命令

描述：这个关键值使病毒运行，当用户运行任何EXE程序，等等… txtfile ..或者。 comfile ..还可以实现病毒自动操作功能的改变。

此外，一些健康值可以用来实现更具体的功能：

有些病毒可以通过修改以下键值来阻止用户查看和修改注册表：

HKCU 软件微软 Windows currentversion 政策系统 disableregistrytools =

为了防止用户用the.reg文件修改注册表键值，以下关键值也改为显示一个内存访问错误窗口

例如，win32。斯文。B病毒修改默认的健康价值：

PRJ0050 reg文件壳休憩命令（默认）= cxsgrhcl.exe showerror

通过对上述地方的修改，病毒程序的主要目的是在系统启动或程序运行过程中自动执行，达到自动激活的目的。