如何判斷操作系統配置文件System.ini是否被黑窖改動?
在Windows NT及Windows 2000服務器操作系統中,操作系統配置文件 System.ini是為了兼容某些Win 32(16位)應用程序而保留的,但是黑客可以通過更改Boot項的Shell字段和386Enh項的Mic、drivers和drivers32字段來加載惡意的驅動程序從而使得惡意程序在系統啟動的時候被運行。因此,當管理員發現自己的運行系統異常時,可以檢查該文件是否正常,木馬通常的做法是將該句變為shell=Explorer.exe黑客.exe,這里的“黑客.exe”就是木馬服務端程序。此外,還要注意檢查在“driver=路徑程序名”中包含的路徑是否可疑。
如何判斷操作系統配置文件Win.ini是否被黑窖改動?
在Windows NT及Windows 2000服務器操作系統中,操作系統配置文件Win.ini是為了兼容某些Win32(16位)應用程序而保留的,但是黑客可以通過更改Load項和Run項從而使得惡意程序在系統啟動的時候被運行。因此,當管理員發現自己的運行系統異常時,可以檢查該文件是否正常。如果Load和Run項中包含內容,建議刪除該內容,因為默認Load項和Run項的內容是為空的。如果沒有把握可以刪除該項內容,也可以使用殺毒軟件查殺該項連接文件是否包含病毒或者惡意程序。
