在Windows操作系統(tǒng)中安裝應用程序后,你會發(fā)現(xiàn)在相應的安裝目錄中,會有一些以INI為擴展名的文件,這就是Windows的配置文件。在某些情況下,這些配置文件可是大有用途的。
揪出木馬的藏身之處(Win 98)
木馬服務器端一般都會加載在中招機器的啟動項中,隨系統(tǒng)啟動自動運行。除了查看注冊表Run等鍵值及程序啟動菜單之外,在系統(tǒng)盤Windows目錄下的Win.ini與System.ini這兩個配置文件中,有時候也能發(fā)現(xiàn)木馬的蛛絲馬跡。
1.“Win.ini”文件中的“l(fā)oad=”與“run=”項目顯示的是啟動程序內容。從中即可查看到未知啟動程序的存儲路徑,例如:
[windows]
load=C:\Windows\xxxx.exe
2.“System.ini”文件中的“[boot]”項目中顯示的是系統(tǒng)加載的程序,在該項目中可以查看有無可疑程序。
清除程序的歷史記錄
某些軟件的配置文件中含有該軟件的歷史記錄信息,以eXeScope為例,這是一款常用于資源修改及提取的軟件,如果你希望清除該軟件菜單中的歷史記錄信息,只須修改安裝目錄下的“EXESCOPE.ini”文件。打開該文件,找到“[Recent]”項,它下面的命令行就是打開程序的記錄,只需清除指定記錄即可。
注意:這種清除記錄的方式并不一定適用于所有軟件。希望朋友們多思考,多實踐,挖掘出配置文件更多、更實用的功能。