梦影 2008-6-11 06:22
雷特反病毒教学第2课:文件,目录的访问与隐藏
第1课:http://www.ratebbs.cn/thread-1842-1-1.html
&R�u+K�N4P
废话:
�i)y�J�V�q�a&w4x
一,雷特反病毒学员每次看帖后必须回复(无特殊情况连续三次不回复取消学员资格),回复格式如下(非学员可自由回复):.T�k%s�d�c,L�j
ID:6n�R�L'Y,@�r�d;L
看帖日期:
i�I$B�Q:a�W�r!g
看帖前是否已掌握:
�n�x�s%N�k�\.C/U�A
看帖后是否已掌握:�]"|�n�T(P�`�k9j)I
意见或建议:
5Z�^�u�b�E S.b:E
提问:
9a�^�n�a%Z
其他:
$d7r5w�l�D+L
/P�[4`$]$?�C"`�^
二,每个帖子都会设置一定的阅读权限,普通会员无法看到.部分帖子可能需要雷特币来购买,学员只要按要求回复该帖,即可返还花费(非学员不返还).&g'O�b3v:A�h+g�_#a
n
�L�J-n3^(G%b-W
三,我的QQ:673670269,邮箱:dreamhk@ratebbs.cn
�i'a:l,A�x
希望大家不要因为前几课太简单而不看,不看的后果是后面的几课你可能看不懂在说些什么.�m"J3s�E$I8i/C v�\
�J3J)C3c�}�V
四,现有学员名单:
�s�] g�x�Y�l$a
ayong 死性不改 狐狸 ℡o风︶ㄣ 零点 江湖游龙 弧光 chaplin_jia
4x�[0i�w�u7t/C
�o�^�O�K�D9y
开始:�^)d�F&I3P5_�T7R�e-@
一,[color=red]名词解释[/color](更详细的解释请查看百度百科)
�?�l�n�?�\ T2k/|#J�D�h
1,[color=red]文件[/color]:文件是一个具有符号的一组相关联元素的有序序列.文件可以包含范围非常广泛的内容.系统和用户都可以将具有一定独立功能的程序模块,一组数据或一组文字命名为一个文件.文件是以单个名称在计算机上存储的信息集合.文件可以是文本文档,图片,程序等.在大多数系统中,设备(如输入输出设备con,串口设备aux,并口设备com1,打印机pkn等)也是以文件或文件夹的形式出现的,我们建立文件时一般不能使用系统设备名,也不能包含/\":<>*?|这几个字符,文件还可以有扩展名,一般用3个字符表示.�e [�G
p�W�k�w-\�h
DOS系统只支持最多8个字符的文件名和3个字符的扩展名,而windows中最多可以有255个字符.如何在DOS中访问文件名大于8个字符的文件或文件夹,等下实践部分会讲到.�`�r9a�g(u�y,Y
�{*R�e�`�f
2,[color=red]文件路径[/color]:通俗地讲,就是文件在磁盘上的位置,这个位置是唯一确定的.�m�N%s�x;Q
如C:\WINDOWS\inf94.PNF 这就是文件1394.PND的完整路径
.w�g(l�S g�H
在linux中访问这个文件的路径是不一样的,比如可能是/mnt/hda1/WINDOWS/inf/1394.PNF
�R�x�s�R�?�]�`
大家都知道,DOS是不支持长文件名的,那它如何访到这样的路径的文件呢?请关注实践部分.,W!_�l�\/p2p
)f�K"Z�m/l#T�p
3,[color=red]注册表[/color]:注册表包含Windows在运行期间不断引用的信息,如每个用户的配置文件,计算机上安装的应用程序(如杀毒软件的注册或激活信息)以及每个应用程序可以创建的文档类型,文件夹和应用程序图标的属性表设置,系统上存在哪些硬件以及正在使用哪些端口.注册表文件的大小被限制在大约40MB �q8M%r�D;y�x#p2R!A
windows系统中编辑注册表的工具叫注册表编辑器,有些linux系统也提供类似的工具,如Ubuntu中叫做配制文件编辑器.
6J%`�[�r&i%r�{
在windows下打开注册表编辑器的方法:依次单击开始,运行,键入regedit,然后单击确定. |�Y�o9O�R0L6};f
点击帮助,帮助主题,以查看有关注册表的更多内容.(一定要弄明白)2b-a�w�P$v7P�E.T!P
�N4t�M�s"a4r.R
4,[color=red]注册表路径[/color]:某个设置项所在的位置,类似于文件路径.'{�t7p�V�i l�@�q&q6Z�q
例如HKEY_LOCAL_MACHINE\SOFTWARE\Python\PythonCore.5\InstallPath,这里存放了Python这个软件的安装位置.�d1g�\,`*~7}
1S�i�L+d�`,[8Z�v�\'g
二,[color=red]实践[/color]
�G�B Z�k�c2n
1,[color=red]查看隐藏文件�O*z�v&w�v�m�{
[/color]大家先找一下你的系统盘下有没有一个名为boot.ini的文件.如果你看不到这个文件,请按如下方式操作:
�T)e�A9d3m3k#V2L/J
打开我的电脑,点击工具,文件夹选项,查看,�r
M�c�R1t�v�E R�x
显示系统文件夹的内容前打勾 (操作1)8H�n�E"F�N!t�v&l�_
p
s
隐藏受保护的操作系统文件(推荐)前面的勾去掉 (操作2)
�X�q
K�s�g5V
?
显示所有文件和文件夹前打勾 (操作3)�T,O3S2v:B3@
m
隐藏已知文件类型的扩展名前的勾去掉. (操作4)�m,a L�L�I0T
确定.-S�}�C�d*u
这是系统的重要设置之一,在windows中,所有设置都是保存在注册表中的.下面我们通过修改注册表来实现和上述操作同样的功能:
�Y7L%v�Y;J�m�@�t�Z
按快捷键Win+R,输入regedit,按Enter�M0R�D�O�J
双击HKEY_CURRENT_USER(也可以点前面的加号的,和资源管理器中的操作是一样的),双击Software,再依次点Microsoft,Windows,CurrentVersion,Explorer,Advanced(以后我直接给出路径HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,不再详细说了).
9\�B�`�V.Q,U�|�h.`
看右边,有个ShowSuperHidden,双击它,将数值数据改为0,刷新下资源管理器,那些显示的系统文件又重新隐藏起来了,改回1,就又显示了.(相当于上面的操作2) �k ?5Q�~-U v
Hidden这个键值由0改为1,相当于上面的操作3�W�l�u&n+h
操作4可以修改HideFileExt的值
S#]'h�P�o�?+x�~/t
上面的操作1,大家可以自己找下,然后回复,前三个回答正确的加分.7}2a�b5s2?.W%h*p�K
�H0d�q�H'U
o8S'c
二,[color=red]特殊文件夹的建立[/color]
&U�s�v"k1{�w
1,大家试试:在C盘根目录新建一个文件夹,改名为com1,改不了,对吧.因为这是一个设备名,那我们把它改为com吧,这下行了.不过这不是我们的目的,我们的目的是改为com1,怎么办?请按如下方式操作::D/Q�L�j�u0w�^
按快捷键Win+R,输入cmd,按Enter�o%z�\�p�S�F:l#H't#[
输入cd\后按Enter.
)_�M c�H$]�K�|
输入ren \\.\c:\com com1后按Enter%x�J.Q�`#\
好了,这下成功了,你删除它试试,出问题了,系统找不到指定文件?0H!g�|!]-@�I�t�P
[attach]1220[/attach]
�t�w�e�T2}�V�M�j7J'f
/Q.G3V�J�T s�h)z�j(_�s�q
也无法更改它的属性?&U�B(]�d3n�i�l
[attach]1221[/attach]
@,t�|�{7C'P�a
S
�X!Q�]�F�q t
要删除这个文件夹,请输入rd \\.\c:\com1
�m�w2F!d1n�V
原理解释:rd是删除目录的命令,通常的做法是rd com1,但这里会失败,所以我们就把这个文件夹作为网络上的一个设备来访问,\\代表网络,.代表本机,如果是其他机器,必须输入IP地址,c:\代表C盘.
Q�f&W-R�R U:a
其他设备名也是类似的.3U.]3g�d5E1}�e!~�K�f
�@!o-A2Y.H�x�}�?0g%R�}
2,现在我们来建另外一种特殊文件夹.,k�g�T*Y�I�u�r�t O�C�K
还是在CMD中,输入md com..\\�`2@�V�p%p,H
在资源管理器中删除它试试,无法读盘?�q�K�{�M
A!H$^
�y5F�J.r�]�S�W�a,r�g�S
[attach]1222[/attach]
,l�O0n
~'u;T
�n0E�V�z�J7[+S8I \
也不能打开?&y�u8^8T�^�d,Z:z4D
&G�B2w-a-M�`"p�p
[attach]1223[/attach]
t/X�O'P/z�X�] N*?
�f#x3f!s5f1`�B�j
刚才的com1是可以打开的,不知大家试了没?并且可以放任何文件.
#m
n
a�?;@�K
不过我们依然可以在里面放东西,只是要在CMD中操作而已.
�G1E�a�p�[3Y/n�@
删除它也很容易.输入rd com..\\
�X8K9L*|�A
T*h�\8@!^
先讲这两类特殊文件吧,多了大家可能记不住,关于上面讲到的几个命令,不要求很了解,只要跟着操作就行.如果你要深入了解,请输入rd /?或md /?或ren /?
V�j�~
n3E'a
!k#k;E&`+s/o�o�U
三,[color=red]玩个病毒
%[�m�q�O�W�v8d�c1? ?�Q1Q({�c
[/color]说是病毒,其实并不是病毒,只是个演示程序,大家来玩一下吧(见附件)*l g�K�x�F�I�y�M
这个演示程序的作用是让你的隐藏文件无法显示,是通过修改注册表来达到这个目的的.大家改回来就是了.(在文件夹选项中修改,或直接修改注册表)�U
l�D+\:w�C u�j5w�o%`
但是大家可能会发现,可以正常修改,但是改完了后刷新又变成原来的样子了,隐藏文件还是无法显示.!L�B+d�`$j.W
嗯,是的,演示程序每隔一定时间(0.5秒)会检测一下注册表键值,发现你修改了,再改回来,呵呵.
&w�B�T.v�J�^,u
如何清除?$A�g(I�S/k7M+M
打开任务管理器(右击任务栏,选择任务管理器),进程,找到并选中anti.exe,结束进程,是.
S9V,Z�D3R7I�l�\�I�{
再修改文件夹选项或注册表,删除程序.(不删也可以,你可以收藏,只要不运行就没事,运行了也不不怕,因为你现在已经学会怎么杀它了)�^�A0Z�Z�F�E�j
�C�o�g-|�`�_-y!}!y
四,[color=red]DOS中如何访问长文件名�W�{�@�d$l�F�~.h�e8` s
[/color]大家重新打开CMD窗口.
�y�V+D�y2n:{�g�E�A'D
输入cd..
,q2P b!}9F�S�Q�p�c�a
这时,光标所有行显示的路径是C:\Documents and Settings
�|6C�^#`8l2@*x/Z
你输入debug,回车1?,V�a�{
@�q F.?
再输入q,回车8n�]�M�{#`�G
这时显示为C:\DOCUME~1*c(?�w�{�l�e�B"U2W�h
其实这两个是同一个路径,后者DOCUME~1只有8个字符了,这个才是在DOS可用的,我们的CMD虽然和DOS差不多,但还是有些区别的."v�B�K�r�L(d&v�`
按Win+R,输入c:\docume~1试试吧(windows是不区分大小写的)#M3C�m1Z*f�s(`5f�~
长文件名改为短文件名的规则是取文件夹名称的前六个字符,然后加~1这两个字符,对于文件名,也是类似的,但还需加上后缀名.例如下面这个:
:p�}#k�G$l�V�n�W
C:\Documents and Settings\dream\Cookies\dream@www.ratebbs[2].txt
)M$h$M*~�@�Y `
改成短文件名就是
�J�D�C�b6x
c:\docume~1\dream\cookies\dream@~1.txt5E�\�f(a!y3E�z
验证是否正确,大家在运行中输入一下就知道了.
�H�|*a+U�I0n
5B-I�P
b�m�^&?)X�H�p
上面的实践部分请大家一定要自己操作一遍,理解不理解又是另外一回事了..因为涉及到一些DOS命令,有些人可能不明白,你只要操作就是了,以后我们会深入讲解的.
3i�{�w�b4h�v*i�E�g
�D�o"C+E$]�[
[color=gray]出现17楼所说的问题是由于注册表相应键不存在造成的. 现在我已重新编译了附件中的程序.如果不存在,会出现提示的,点击确定即可修复该问题并退出程序,此时你只要重新运行即可.(运行后什么反映都没有的,这是正常现象,难道病毒运行时会告诉你'我要运行了'?)[/color]
梦影 2008-6-11 19:21
[quote]原帖由 [i]ayong[/i] 于 2008-6-11 23:47 发表 [url=http://www.ratebbs.cn/redirect.php?goto=findpost&pid=8177&ptid=1876][img]http://www.ratebbs.cn/images/common/back.gif[/img][/url]
!{9`�f j;a�]7X
看帖人:ayong�v�H.Q�v l!V
日期:06月10日"S�M3n�H�@3S8R8H
看帖前掌握吗:只是朦胧的知道点
8c;S-p�b�i�l�o�^*g,n
看帖后掌握吗:懂一些点
v8v9x�l�X�o7c
意见建议:能不能详细讲下注册表的意思�I"e�}6h�K
C.Y3@$~
每个部分代表什么意思如 t,^�J�q1`-a)l(m�P
HKEY_CURREN
�b
v/N/k�u3V�g:w
USER\Software;k&E�G�o�P6S�w�o�E"T
谢谢 [/quote]
�[
f�h�J4~.A�u
g ?�P,v�s�^7g
日期写错了吧...
#l�y C�o
b�y
不要把注册表认为是很神秘的东西,其实它很像我们的文件系统.
+S�U�}"_�n�@+k
b!B�`
那么注册表编辑器就相当于资源管理器.3W
A�n�w�t�`�C%T
注册表项就相当于文件夹,键名就相当于是文件,键值就相当于文件的内容. �g#^�W"A3X�n
你知道C:\WINDOWS\system32是什么吗?
�i/U7l#S�s�p4r
windows:安装目录2j�s�n�b�P;[8k
system32:系统目录.
_�o1t�L:t�q'T�[
2G K9K�Y/o�]'O
HKEY_CURREN_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced?
/x�] J%G3v�I$a
HKEY_CURREN_USER:当前用户设置
#v�v�K�k.P;k
Software:软件相关设置.�O�}�|�X3_&i�V�t+F�D�y
Microsoft:微软相关? 6I-?�m7`;}�d�e�~%C
Windows:系统相关?
-x,P�d0v�x9k
CurrentVersion:当前可能经常会改变的设置.
0e�X�U0\ `
f�W
Explorer:资源管理器相关�P(b�J�d�G w!N6x2A
Advanced:高级 ? (文件夹选项)�a+W9q7`�M�T4C1p/[�e
�l�}�E�^
l
事实上我也不知道它们的意思,知道是怎么回事就行.
'},I�Y�`�W�u�A�y*Z:A
真正的高手也不可能把注册表全部弄明白,微软并没有公开这些,靠我们去发现,去认识..
�r5w3W.n&f�G�m;X
m/w
_7{�?
有兴趣的可以看看ubuntu中的配制文件编辑器(应该是这么叫的吧,就是Configuration Editor),那可是公开的哈,点击键名,右边下面会有详细的解释,以及如何设置等.放个图:�X7d�Q(\2s [
<桌面背景图片的透明度>
�Z F1e"z�A�C�E2B
y�}#W
[attach]1225[/attach]
�_�m'H�X6{!h�w
#z�{�O$I
I
A:R:I�b
现在这个东东还很小,不像windows中的注册表那么复杂.windows的注册表路径往往很长....
梦影 2008-6-13 00:54
[quote]原帖由 [i]boobbgirl[/i] 于 2008-6-13 13:29 发表 [url=http://www.ratebbs.cn/redirect.php?goto=findpost&pid=8360&ptid=1876][img]http://www.ratebbs.cn/images/common/back.gif[/img][/url]3Q�J�H0Y�J
ID:boobbgirl�P�{ P$r(J�E!I$m
提问:串口设备、并口设备、DOS、Linux、配置文件、端口是什么?有什么用?字符是怎样计算的?
U�q d)D�[�g%J.Y)l�T
其他:我只看到实践1,发现找不到“隐藏受保护的操作系统文件”, 并且我不知道快捷键WIN在哪。按照步骤后,我在c盘里找到了文件夹boot,却找不到boot.ini,这是为什么呢?[/quote]
#v�j�o/{)Q5g
�J�a+n�u�f*c�T�r
[color=red]串口[/color]:全称串行接口,也称串行通信接口,按电气标准及协议来分包括RS-232-C,RS-422RS485,USB等.RS-232-C,RS-422与RS-485标准只对接口的电气特性做出规定,不涉及接插件,电缆或协议.USB是近几年发展起来的新型接口标准,主要应用于高速数据传输领域.
,F�?�v%^�w�E9o
�w$n�E8d�t�e
?1o�k)s
[color=red]并口[/color]:并行接口,采用的是25针D形接头,所谓"并行",是指8位数据同时通过并行线进行传送,这样数据传送速度大大提高,但并行传送的线路长度受到限制,因为长度增加,干扰就会增加,数据也就容易出错.�J+~2N�Q�|�~$@9e7X
�^ a�s&O�] r.F
[color=red]DOS[/color]:早期的一种系统,现在已不常见,但作为反病毒学员,以后是必须掌握的.因为很多病毒无法在windows中清除,或者有时连windows系统都无法进入,这时便会进入DOS来进行杀毒与系统修复.
�I%e o�M�C;{�y
�b0?)L'W�n2_)`�U
[color=red]Linux[/color]:当今很流行的一种操作系统,仅次于windows,有超越windows的趋势.一个相当安全的系统,几乎不会中病毒.-] ~�c
Y�}�W�_
)r�A�t9w
W.s
r4c�H
[color=red]配制文件[/color]:一类文件,扩展名通常是.ini,也可自定义.�M�t�X5r�b�Y
�B�`/[
l,V"h
[color=red]端口[/color]:文中指的是CPU与外部设备之间的接口(可能是一组忒片,或是一个寄存器).
$V�~�o-\%]:X0d�e:e
�N+M�t�P�p�x�W1X�l�u
[color=red]字符[/color]:一个字符通常占一个字节,即8位,汉字占两个字节.�x/]�j0A�p-|�T!Q�Y�K
�p0n(A�h�e4]�A
[color=red]找不到"隐藏受保护的操作系统文件":[/color]注册表键值已被破坏或无权访问.
:y�f�m,L�j0]�`
"D�b�I�^ z
[color=red]快捷键WIN在哪[/color]:有windows徽标的那个键,通常在空格键两边.-p�^0r�K#b6S�|
:h3|,a*n�c�x�N-x
[color=red]找到了文件夹boot[/color]:安装了其他虚拟DOS等会有,正常
�B'[!V�S�z
8A3l�S�P�n�}
[color=red]找不到boot.ini[/color]:这个是隐藏只读系统文件,需要按实践1操作后才能看到.你想直接打开这个文件的话,在运行中输入c:\boot.ini即可.