在以下注册表项中找到 AppInit_DLLs 值:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows
默认值为空!
一种木马可能用到的方法!
注册表的系统设置项“AppInit_DLLs”可以为任一个进程调用一个dll列表,早期的进程插入式木马的伎俩,通过修改注册表中的[HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Windows\AppInit_DLLs]来达到插入进程的目的。
最近发现此值被改为273100M.BMP的情况!而且在正常模式下无法删除!
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="273100M.BMP"
关于appinit_dlls的微软官方的信息:
[url]http://support.microsoft.com/kb/197571[/url]
2007-09-03 添加:
今又发现一加载项如下:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="qjhpri.dll"0daybank
文章评论