资源描述:
《反病毒教程(中级篇)第9课》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、反病毒教程(中级篇)第9课一.一个特殊dll文件ws2_32.dll在软件安装目录下新建一个文本文件,改名为ws2_32.dll,此时将导致该软件无法运行.解释如下:ws2_32.dll是WindowsSockets应用程序接口,用于支持Internet和网络应用程序.程序运行时会自动调用ws2_32.dll文件,ws2_32.dll是个动态链接库文件位于系统文件夹中.Windows在查找动态链接库文件时会先在应用程序当前目录搜索,如果没有找到会搜索Windows所在目录;如果还是没有会搜索system32和system目录。一些病毒可能会利用此原理在杀毒软件目录中建立名为ws2_
2、32.dll文件或文件夹,在杀毒软件看来这是程序运行需要的文件而调用,而这个文件又不具备系统ws2_32.dll文件的功能,所以杀毒软件等就无法运行了而提示:应用程序或DLL为无效的windows映像,请再检测一遍您的安装盘,我随便测了一个程序我现在拿一个程序做个试验…找到一个程序,如我的ACDSee,增加一个ws2_32.dll文件…如: 删除ws2_32.dll就可以正常运行~~二.一个特殊的程序rundll32.exe这个文件的作用,从文件名应该就可以猜到了,用于运行32位的DLL文件,位于%systemroot%system32rundll32.exe下面来看看这个命令
3、的格式:Rundll32.exeDLL文件名,DLL文件中的引出函数引出函数的具体参数这里说的DLL文件名其实也可以是exe文件名,引出函数的具体参数是可选的.大家打开开始,运行对话框,复制下面一行的命令粘贴进去,然后点确定.先不说效果,自己操作下哈.rundll32.exeC:WINDOWSsystem32shimgvw.dll,ImageView_FullscreenC:WINDOWSWebWallpaperBliss.bmp是不是被这么长的命令吓怕了,其实很简单,看看上面的格式,都能对上号吧rundll32.exe这是命令名,可以不写扩展名.C:WINDOWS
4、system32shimgvw.dll这个就是DLL文件名ImageView_Fullscreen这个是前面这个DLL文件的引出函数,功能是最大化显示图片,注意它和前面的DLL文件名是用逗号分隔的.C:WINDOWSWebWallpaperBliss.bmp引出函数的具体参数,这里就是所要打开的图片文件路径.rundll32这个命令是相当复杂的,不要求大家记住所有DLL文件的引出函数(也不可能记住),但要知道它的格式.来看个短一点的命令吧rundll32.exeshell32.dll,Control_RunDLLdesk.cpl打开了桌面属性对话框.说了这么多,好像和病
5、毒没有关系?呵呵,关系很大,病毒可以通过这个命令来运行,配合注册表中的几个自启动位置...是不是很强大了,举个例子:HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun键main,值rundll32.exeC:progra~1intern~1use6.dllmymain这里的C:progra~1intern~1use6.dll就是病毒文件,很好地实现了开机自动运行,并且还看不到病毒的进程,因为它只是一个DLL文件,但可以看到rundll32.exe进程,这个进程应当结束.打开控制面板中的一些项目
6、时,也会出现这个进程,此时是正常的(刚刚打开桌面属性对话框时也会有这个进程啊).三.文件关联一种类型的文件与一个可以打开它的程序建立起一种依存关系,当双击该类型的文件时,系统会自动用已关联的程序来打开它.例如,默认情况下,.txt文件是用记事本来打开的,.jpg文件是用windows图片和传真查看器来打开的.当某种类型的文件未与任何程序关联时,双击它系统会弹出打开方式对话框.修改文件关联的方法很多,这里大致介绍几种常用的.我以.jpg文件用记事本来打开为例.1.点击任意一张jpg图片属性,单击更改,出现打开方式对话框,选择记事本(也可以点击浏览找到%systemroot%ote
7、pad.exe),确定即可.现在双击一下图片看看,出现的是记事本,但是显示乱码.现在改回来吧,只能通过选择windows图片和传真查看器改回来,无法通过浏览来改,其实也是可以的,浏览时,下面选择所有文件就行了,因为windows图片查看器并不是一个可执行文件而是一个动态链接库,文件位置是%systemroot%system32shimgvw.dll,当然dll文件是不能直接执行的,事实上它是由rundll32.exe来启动的,刚刚运行过那个很长的命令的话应该不会有
