我们知道,有些木马是通过修改exe的文件关联来启动EXE程序的。今天在网上看到还有一个众所周知的方法,就是通过下面的注册表选项。
HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ current version \ Image文件执行选项
在上面的注册表选项中,创建一个名为above的新注册表项,然后在下面创建一个名为调试器的新字符串。字符串值是程序B.exe的完整路径。
显然,这是为系统设置每个程序指定的纠错程序而实现的。令我惊讶的是,A.exe不需要指路!
所以以后找木马的时候要多注意一个地方。但是我觉得搜索注册表的方法更直接。
声明:我提供这些信息的目的是为了让Windows用户更好地维护系统安全,强烈反对任何利用这种方法的入侵或破坏行为!
