knowndlls,顧名思義,是指系統目錄預設載入的DLL,現在病毒偽裝的馬甲DLL置於檔案啟動目錄之下伺機啟動早已不是什麼有創意的做法。應用程式啟動前優先載入當前目錄下的所需DLL,這就給木馬的啟動又多了一條途徑,而knowndlls鍵值正是斬斷這條傳播通斷的利劍,無論你在當前目錄下有多少馬甲DLL,應用程式都會從SYSTEM目錄下去尋找,從而避免了馬甲的毒害。
免疫方法如下:建個BAT檔案內容如下:
reg add "hkey_local_machine\system\currentcontrolset\control\session manager\knowndlls" /v psapi /d psapi.dll /f
reg add "hkey_local_machine\system\currentcontrolset\control\session manager\knowndlls" /v WS2_32 /d WS2_32.DLL /f
reg add "hkey_local_machine\system\currentcontrolset\control\session manager\knowndlls" /v MFC42 /d MFC42.DLL /f
reg add "hkey_local_machine\system\currentcontrolset\control\session manager\knowndlls" /v usp10 /d usp10.dll /f
reg add "hkey_local_machine\system\currentcontrolset\control\session manager\knowndlls" /v msimg32 /d msimg32.dll /f
有新的DLL加進去就可以了。
knowndlls,顧名思義,是指系統目錄預設載入的DLL,現在病毒偽裝的馬甲DLL置於檔案啟動目錄之下伺機啟動早已不是什麼有創意的做法。應用程式啟動前優先載入當前目錄下的所需DLL,這就給木馬的啟動又多了一條途徑,而knowndlls鍵值正是斬斷這條傳播通斷的利劍,無論你在當前目錄下有多少馬甲DLL,應用程式都會從SYSTEM目錄下去尋找,從而避免了馬甲的毒害。
免疫方法如下:建個BAT檔案內容如下:
reg add "hkey_local_machine\system\currentcontrolset\control\session manager\knowndlls" /v psapi /d psapi.dll /f
reg add "hkey_local_machine\system\currentcontrolset\control\session manager\knowndlls" /v WS2_32 /d WS2_32.DLL /f
reg add "hkey_local_machine\system\currentcontrolset\control\session manager\knowndlls" /v MFC42 /d MFC42.DLL /f
reg add "hkey_local_machine\system\currentcontrolset\control\session manager\knowndlls" /v usp10 /d usp10.dll /f
reg add "hkey_local_machine\system\currentcontrolset\control\session manager\knowndlls" /v msimg32 /d msimg32.dll /f
有新的DLL加進去就可以了。