科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道【最新】显示隐藏所有文件

【最新】显示隐藏所有文件

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

在autorun病毒流行的年代里 病毒在浩瀚的注册表里面发掘出一个键值,然后就一直孜孜不倦地在使用,今天遇到一个病毒,修复以后发现还是不能看到隐藏的病毒文件。

作者:zdnet安全频道 来源:论坛整理 2008年6月18日

关键字: 隐藏 显示 病毒 文件

  • 评论
  • 分享微博
  • 分享邮件

显示\隐藏所有文件

在autorun病毒流行的年代里 病毒在浩瀚的注册表里面发掘出一个键值,然后就一直孜孜不倦地在使用,
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
CheckedValue的值修改为0 或者将CheckedValue的类型设置为REG_SZ类型的

现在大家都知道只要将下面的一段代码保存为reg然后双击导入就可以修复
复制内容到剪贴板
代码:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden]
"Text"="@shell32.dll,-30499"
"Type"="group"
"Bitmap"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\
  00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,53,00,\
  48,00,45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,34,00,00,\
  00
"HelpID"="shell.hlp#51131"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30501"
"Type"="radio"
"CheckedValue"=dword:00000002
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51104"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"
今天遇到一个病毒,但是通过以上的方法修复以后发现还是不能看到隐藏的病毒文件,可以在命令提示行下明明可以使用 DIR /A 命令查看到这些个文件的 【图1】 这里的pagefile.pif就是病毒文件,(而且发现自己隐藏的普通文件-只有隐藏属性的文件可以查看到【图2】)那么问题到底在那里呢 .打开我的电脑 选择工具---文件夹选项-查看  发现不同点了 正常的系统中这里显示的应该是一个像使用简单文件共享这样的框框的 为什么变成圈圈了?【图3】  觉得问题的关键是这里,还原了系统以后通过regshot比较 打勾前后找到修改的项目位于
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden

继续和正常的系统对比发现 病毒机的Typeradio(单选按钮) 而正常的机的Type值是checkbox(选项框)开始运行 输入 regedit.exe然后定位到修改的键值 双击Type将radio修改为checkbox 【图4】然后再到文件夹选项里面去除“隐藏受保护的操作系统文件(推荐)”然后应用 ^_^ 系统文件终于可以看到了【图5】 这年头病毒还真阴
^_^ 简简单单将下面的内容保存为reg双击导入就KO了
复制内容到剪贴板
代码:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden]
"Type"="checkbox"
"Text"="@shell32.dll,-30508"
"WarningIfNotDefault"="@shell32.dll,-28964"
"HKeyRoot"=dword:80000001
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"ValueName"="ShowSuperHidden"
"CheckedValue"=dword:00000000
"UncheckedValue"=dword:00000001
"DefaultValue"=dword:00000000
"HelpID"="shell.hlp#51103"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""
    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章