惠州乐乐论坛 » 电脑数码 » [分享]windows文件保护与替换系统程序病毒

缘分 发表于 2008-5-9 23:53

[分享]windows文件保护与替换系统程序病毒

近期网络上出现很多替换系统文件的病毒，有些病毒会替换系统加载或用户登录Windows界面时运行的系统程序，因此这类病毒比较难杀。ZwI.G&iWe
　　目前常见病毒：
OhIcA$aa$n 　　1、替换userinit.exe
!M}-D?0x8U,K;r 　　2、替换explorer.exe
(Co L|NTB 　　如何防范此类病毒呢？其实，系统本身具有保护系统程序不被篡改的防护机制——windows文件保护。

|B(nfB7EN 　　关于“windows文件保护”的详细介绍见：[url=http://support.microsoft.com/kb/222193]http://support.microsoft.com/kb/222193[/url]。
]u z}C%z(D 　　电脑中毒，系统程序被病毒替换的原因是用户没有开启“windows文件保护”，或者未完全执行“windows文件保护”步骤中的sfc/scannow。5a}!on7d7Jsy
　　最近，帮朋友解决一个usreinit.exe被病毒替换的中毒案例时，查看其dllcache文件夹，发现其中只有212个文件（图1），显然此系统未完全执行过sfc/scannow。
0g#NMP5M HMAI&? W ?

1G-W!^F:Pz"z7H f7C 图16^|ul S+n
　　搞定病毒后，帮其完成“windows文件保护”。步骤如下：
]'z0Z0p$hf4p 　　1、点击“开始”、“运行”。.P }u'l9js4Y{
　　2、键入cmd，按回车。4\U5P&J&ceK
　　3、键入sfc/scannow，按回车（图2）。
Wd6J(I;Lk S`%K,J*fX~
图2
T3cd`*SM4c 　　4、耐心等待windows文件保护扫描完成。
[ K6_(Zc$MU+V 　　5、完成windows文件保护扫描后，再检查以下dllcache文件夹（受保护的系统文件缓存处），发现文件数目达3340个。
K6B/Y9V8S^\-h%f 　　 6、最后，再查看一下“组策略”中的相应设置（图3）。
)Yjo
](T5Q$D ly~*?y\
图3z[1i:l9hN^]D t J-L0L
%t g(WN&?w*GS
该文章转自[缘分天空大学生论坛] bbs.blueskyzj.com
8~yP sr 原文地址：[url=http://www.blueskyzj.com/bbs/dispbbs.asp?boardid=20&id=1559&star=1&page=1]http://www.blueskyzj.com/bbs/dispbbs.asp?boardid=20&id=1559&star=1&page=1[/url]

查看完整版本: [分享]windows文件保护与替换系统程序病毒