鸿 网 互 联 www.68idc.cn

病毒库的备份及木马隐藏地址推荐

来源:互联网 作者:佚名 时间:2018-02-25 10:27
简介: 最近维护发现有个别客户端的病毒库没有升级,本着简单至上的原则,然后查找了相关的资料,发现其实病毒库的升级也不是那么麻烦的。 卡巴斯基 在线升级后,所有的升级的病毒库都存储在"c:\documents and settings\all users\application data\Kaspersk
简介:
最近维护发现有个别客户端的病毒库没有升级,本着简单至上的原则,然后查找了相关的资料,发现其实病毒库的升级也不是那么麻烦的。
卡巴斯基
在线升级后,所有的升级的病毒库都存储在"c:\documents and
settings\all users\application data\Kaspersky Anti-Virus Personal\5.0\Bases"下,拷贝就可以了。重装后,在"设置"-"配置更新"-"更新类型"中选择"从本地文件夹"就可以升级了。
诺顿Antivirus
诺顿的LIVE UPDATE在级升级后,打开"C:\program files common files\symantec shared\virusdefs"目录,在里面有几个以时间命名的文件夹,备份其中最新的一个。重装后,将备份的文件夹拷贝到
"系统盘:\programfiles\commonfiles\symantecshared\virusdefs\incoming"目录中,重启诺顿即可。
Mcafee VirusScanEnterprise
MCAFEE的LIVE UPDATE在线升级后,打开"系统盘:\program \commonfiles\network\engine"目录,里面有3个Dat文件,拷贝即可。重装后,将这3个文件的备份拷贝到"C:\program Files\commonfiles\network associates\engine"目录,重启即可。
瑞星
在"工具"菜单里,选取"制作硬盘安装备份",并选择好目录即可备份当前正在使用的最新版本。需要重装时,打开备份目录,
运行setup.exe即可。KV3000
"智能升级"在级升级后,所有的升级文件都保存在安装目录的"Temp"目录下,重装后,进入"工具"-"设置"-"升级"选择"从局域网升级",再选择升级文件的目录,点"立刻升级"。
金山毒霸
在线升级后,升级文件保存在安装目录的UPDATE目录中。重装后,选择"在线升级"-"从本地,局域网升级",然后选择备份的目录即可。
设定安装软件的默认路径
正常的情况下安装软件一般都是在系统盘的"\program files"下,如果想改变安装路径,使安装软件时的默认的目录为自已想要的路径.如原来的是C:\program files现在要变为D:\progrma files 则修改"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion",在其左侧窗口中找到名为"ProgramFilesDir"的项,将其值由"C:\Program Files"改为你想要的路径。

木马隐藏地址一览
1:组策略 "开始"-"运行"-gpedit.msc-组策略-本地计算机策略-用户配置-系统-登录-用户登录时运行这些程序在注册表中存在:HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\
explorer\run以及和:HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run HKEY_CURRENT_USER\software\microsoft\windows NT\currentversion\windows其中要启动的木马一般被写入.cmd和.bat或vbs文件中,然后通过上面的组策略调用.注册表的项目中同样有迷惑性。一般在其下建一字符串值名为load,键值改为要自启动的程序即可(用8.3的格式,不能带参数)
2:AutoRun.inf自动运行(必须放在磁盘的根目录下)格式如下:
[AutoRun]
icon=c:\windows\system\shell32.dll,21
open=c:\program files\acdsee\acdsee.exe其中icon为显示的图标,shell32.dll为系统自带的图标库,21指库中图标的序号,open为打的程序名其中关闭系统中硬盘或光盘的自动运行为: HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer下找到Nodrivetypeautorun当它的值为:9d,00,00,00 关闭硬盘的自动运行 b5,00,00,00 关闭光盘的自动运行
3:屏保方式 可将.exe改为.scr当计算机遇到此文件时会以.exe文件的方式运行。其中HKEY_USERS\DEFAULT\control panel\desktop下的screensavetimeout记录屏保的等待时间,最小从100秒开始。判断是不是启动了屏保可以用msconfig查看,在system.ini中system下的[boot]有SCRNSAVE.EXE=后面跟屏保的文件。禁用屏保为:HKEY_CURRENT_USER\control panel\desktop\screensaveactive将"screensaveactive"改为0,就可以禁用屏保。
4:控制面板 控制面板是以.cpl的文件单独存在。加上windows目录中的control.exe和control.ini构成整个面板,通过rundll32.exe调用rundll32 shell32.dll, control_rundll *.cpl,,* 其中shell32.dll为被调用的dll文件,意为调用shell32.dll中的control_rundll来打开desk.cpl文件,"*"表示cpl文件的页数,从0开始(如desk.cpl,,0代表"显示属性"的"背景",desk.cpl,,1代表显示属性的"屏保")在注册表中加载:RunDll32 shell32.dll,control_RunDll mycpl.cpl在控制面板中加载:设自已的.cpl目录为d:\ok\mycpl.cpl编辑control.ini在[MMCPL]下加入mycpl.cpl=d:\ok\mycpl.cpl要让图标或是选项不在控制面板中显示可以加入[don't load]下加入 "mycpl.cpl=no"
5:长目录名方法 windows最多只能支持255个字符长的目录,可以用下面的方法创建。建后删除不了。1.建一目录,将需要的文件拷入,然后重命名文件夹,使其大于255个字符 2.更隐的方法是在c:\recycled中建立,或c:\windows\font下
6:建立设备名 md c:\con\\\ 然后可能将文件拷如copy muma.exe c:\con\\ 使其中的文件运行的方法是 cmd /c c:\con\\muma.exe
文件共享HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\network
\lanman\c$ "flags"=dword:00000302 //共享标志"parmlenc"=hex:00000000 //共享目录的完全共享密码parmlenc"=hex:00000000 //共享目录的只读共享密码path"="c:\\" //共享驱动器的路径名称Remark"="Remark By Fwnl" //共享说明"type"=dword:00000000 //共享类型属性flags参数:
1:只读共享,无密码 flags=0x191
2: 只读共享,有密码 flags=0x101
3: 完全共享,无密码 flags=0x102
4: 完全共享,有密码 flags=0x102
5: 据密码访问(只读)有密码 flags=0x103
6: 据密码访问(完全)有密码 flags=0x103
7: 据密码访问(只读和完全) flags=0x103
8: 完全共享,无密码,不显示共享 flags=0x302
网友评论
<