早上一上班,忽然想起有个数据要计算一下,简单!
WIN+R打开运行,输入CALC,照常理可爱的计算器将展现在我的面前。等了10秒,没出来?不是我打错了吧,再依次做一次。20秒!依然没有出现-_-!头大,不会是中了病毒吧!试着输入了calc.exe,嘿嘿,可以出来了,真奇怪!难道是有rookit?打开资源管理器,查看%systemroot%\system32下,查看calc.exe 和其他机器对比,没有什么异常啊!目录下也没有,没有calc.com文件!怎么办?
真有病毒了?打开autorun看看启动项,没什么异常。打开IceSword122cn也没异常。后来使用他的监视创建的进程功能查看,运行calc后,创建了一个rundll32.exe的进程,哎,这个程序名声也不好,看来真的中了毒了。对这个程序做MD5和其他机器的对比,没有异常!想想,运行calc,怎么会创建rundll32.exe进程呢?难道是映像劫持?打开注册表查看了HKLM\software\micrsoft\window nt\crrentversion\image file execution options\,似乎也没有异常!
晕,没道理啊,难道是驱动级的病毒?心虚中....,回想最近也没装什么软件呀,上的也是常上的网站,U盘病毒更不可能进来,局域网进来的?似乎也不太可能。绝望中,想起文件监视器和注册表监视器,先打开Regmon7.04,过滤calc,运行calc命令,无果。再打开Filemon7.04,过滤calc,有一行11:50:43 Explorer.EXE:1312 OPEN C:\Documents and Settings\user\calc\ NOT A DIRECTORY Options: Open Directory Access: 00100001 ,于是查看C:\Documents and Settings\user\下的文件,有一个大小为0字节的calc文件,window的寻路径不是先程序自己的目录,然后再system32目录么?这么这回又多出个 C:\Documents and Settings\user目录?删除这个calc,运行calc,哈哈,可爱的计算器总算出现了。为了验证下运行名的寻路顺序,特地拷贝了纸牌游戏(vol.exe)到 C:\Documents and Settings\user目录下,并改名calc.exe,再运行calc命令,出现了纸牌游戏!
看来真的是运行命令的寻路顺序是先当前用户目录,然后再system32目录,看来以后对当前用户目录也需要多多关照了!