在Windows操作系統(tǒng)中安裝應(yīng)用程序后,你會發(fā)現(xiàn)在相應(yīng)的安裝目錄中,會有一些以INI為擴(kuò)展名的文件,這就是Windows的配置文件。在某些情況下,這些配置文件可是大有用途的。
揪出木馬的藏身之處(Win 98)
木馬服務(wù)器端一般都會加載在中招機(jī)器的啟動項(xiàng)中,隨系統(tǒng)啟動自動運(yùn)行。除了查看注冊表Run等鍵值及程序啟動菜單之外,在系統(tǒng)盤Windows目錄下的Win.ini與System.ini這兩個(gè)配置文件中,有時(shí)候也能發(fā)現(xiàn)木馬的蛛絲馬跡。
1.“Win.ini”文件中的“l(fā)oad=”與“run=”項(xiàng)目顯示的是啟動程序內(nèi)容。從中即可查看到未知啟動程序的存儲路徑,例如:
[windows]
load=C:\Windows\xxxx.exe
2.“System.ini”文件中的“[boot]”項(xiàng)目中顯示的是系統(tǒng)加載的程序,在該項(xiàng)目中可以查看有無可疑程序。
清除程序的歷史記錄
某些軟件的配置文件中含有該軟件的歷史記錄信息,以eXeScope為例,這是一款常用于資源修改及提取的軟件,如果你希望清除該軟件菜單中的歷史記錄信息,只須修改安裝目錄下的“EXESCOPE.ini”文件。打開該文件,找到“[Recent]”項(xiàng),它下面的命令行就是打開程序的記錄,只需清除指定記錄即可。
注意:這種清除記錄的方式并不一定適用于所有軟件。希望朋友們多思考,多實(shí)踐,挖掘出配置文件更多、更實(shí)用的功能。
