注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

温馨清风的博客

过自己的生活,干份内的工作;充实精神家园,看淡物质享受。活得坦然,过得充实。

 
 
 

日志

 
 

电脑病毒的藏身之处   

2013-06-04 08:03:58|  分类: 学习资料 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |
本文转载自河曲农远工程《电脑病毒的藏身之处》
电脑病毒的藏身之处
有病毒,随后就出现了杀软。今天给大家分享下Windows系统中病毒的藏身之处,好让大家以后直接揪出内鬼。

1、一般的病毒在开机时启动双进程坚守、关闭杀毒程序。HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run是否有陌生启动项。这里属于常规启动项,很多程序会写在这里。

2、如果杀毒软件难于清理、或被关闭了杀毒程序,也有可能是被执行挂钩了。这时候应当检测HKLM\Software\Microsoft \Windows\CurrentVersion\Explorer\ShellExecuteHooks,大量恶意软件以及病毒均会写入这里。因为,很少有正常程序会写入这里,病毒几率非常大(更多电脑入门学习、计算机基础知识,请到http://www.pc6c.com电脑知识网)。

3、有的时候,安全模式下杀毒程序被关闭了。重点检查一下HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows\Appinit_Dlls。很少有正常程序会写入这个位置,病毒几率极高。

4、有些病毒是写入底层服务与rootkits驱动,所以才导致清除困难。用户可以重点检查HKLM\System\CurrentControlSet\Services。

5、如果发现某个特定文件名的文件无法执行了,十有八九是被映像劫持,重点排查HKLM\Software\Microsoft \WindowsNT\CurrentVersion\Image File Execution Options,大多数AV病毒均会写在这里。当然,被劫持的文件不一定是exe文件。有的病毒为了防止ani.ani还原病毒主文件,便劫持 ani.ani文件。

6、还有一些变种病毒可以将杀毒软件安装文件进行删除,而且会修改hosts文件、在QQ目录下写入隐藏的病毒dll并且修改API HOOH。这时可以重点检查HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer \SharedTaskScheduler

7、HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad 
了解隐藏之地,找到它就相当容易。大家在安装完系统的时候,推荐把以上七项注册表都备份下。以后中病毒后,可以先直接倒入备份的注册表文件。再把杀软升级到最新,然后进入安全模式下,进行全盘查杀。想必这样,病毒不死也大残了。
  评论这张
 
阅读(42)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017