打开文档或运行程序都是依赖文件关联命令实现的，但它却十分脆弱，尤其易受木马的攻击。例如查杀一种关联EXE文件的木马后，会破坏系统中所有EXE可执行程序的关联，导致无法启动任何程序。既然后果如此严重，如何帮助用户检测隐藏的危险，并在被破坏时有效修复呢？本文以实例为依据讲解了3种解决方法。 一、直接修复法 　　以著名的“冰河”木马为例，该木马除了通过自启动键值来运行外，还更改了TXT文档的打开方式（将[HKEY_CLASSES_ROOT xtfileshellopencommand]键值修改为“C:WINDOWSSystem32Sysexplr.exe %1”），以此达到再次启动的目的。 　　1.检测：“冰河”更改TXT文档打开方式后，用户仍然可以打开文档，察觉不到关联已经被修改，所以具有极大迷惑性。但再狡猾的狐狸也难隐藏它的尾巴，对于这类更改文件关联木马，在打开关联文档的时候，它的进程都会出现在进程列表中，用户通过新增的进程可以判断出文件关联是否被更改。在终止木马进程的前提下，打开任务管理器，双击TXT文档后，可以发现系统新增2个进程“notepad.exe”和“kernel32.exe”，其中“kernel32.exe”就是“冰河”进程。 　　小技巧：借助“System Information Collect Tool ”（http://nj.onlinedown.net/soft/39719.htm）这款免费软件，可以快速检测到重要的文件关联是否被更改。运行该程序后，勾选“文件关联”，然后单击“开始”就可以看到结果（如图1）。 [ 相关贴图 ] 2.修复：彻底查杀“冰河”后，双击任意一个TXT文档，系统就会弹出没有程序关联的提示。此时，用户可以直接在资源管理器中修复，右击任意TXT文档并选择“打开方式→选择程序”，然后单击“浏览”并选择“c:windows otepad.exe”，同时勾选“始终用选择的程序打开这种文件”，确认后即可修复。 二、注册表键值修复法 　　电脑中文件类型众多，有些木马则可更改多种文件关联类型。例如中了名为“聪明基因”的木马会更改HLP文件和TXT文件关联，如果该木马还关联更多类型的文件，通过打开每种类型文件来发现木马，显然费时费力。其实，每种文件关联都是由[HKEY_CLASSES_ROOT文件类型shellopen]下的“command”键值来决定的。 　　1.检测：文件类型很多时，检查很费时，而且初学者也不知道各文件的打开命令值是什么。此时，可预先导出正常系统的[HKEY_CLASSES_ROOT]键值为REG文件（如1.reg），当发现异常时再导出一份（如2.reg），然后通过系统FC命令（fc 1.txt 2.txt）比较后即可快速检测到被更改的关联。 小技巧：免费文本比较软件“WinMerge”较FC命令得出结果更直观（http://nj.onlinedown.net/soft/3910.htm）。运行程序后单击“File→Open”，按提示导入“1.reg”和“2.reg”，然后单击“OK”就可以看到用黄色标注的被更改的文件关联了（如图2）。 [ 相关贴图 ] 2.修复：用导出的备份文件（1.reg）恢复注册表即可修复被更改的文件关联。 　　小提示：因为导出的是[HKEY_CLASSES_ROOT] 键值下所有数值，如果某些数据正被系统使用，会出现无法导入REG文件的提示，但并不影响文件关联的修复。 三、系统命令修复法 　　除前面2种方法外，还可以利用系统“FTYPE”命令快速查看和修改文件关联。例如，对于“聪明基因”木马，如果已经知道HLP和TXT文件关联被更改，在命令提示符依次键入： ftype txtfile ftype hlpfile 可以查看到当前TXT和HLP文件的关联程序，接着再依次键入： ftype txtfile=e:windows otepad.exe ftype hlpfile= e:windowswinhlp32.exe 　　这样就可以快速修复文件的关联了（如图3）。同理，可以用上述方法查看怀疑被修改的任意文件类型。 [ 相关贴图 ] 小提示：木马如果更改EXE、COM、BAT文件的关联，会无法直接运行注册表编辑器修改。这时可以新建一个TXT文档，输入如下内容并保存为BAT文件： c:windowssystem32cmd.exe 然后将BAT文件添加到开机脚本中，重启系统后就可以在“命令提示符下”使用ftype命令（ftype exefile="%1"%*）来修复文件关联了

摘自电脑网络网