捣毁病毒流氓软件窝点必查七个注册表
2014-01-13 14:10
447 查看
有病毒,随后就出现了杀软。今天给大家分享下Windows系统中病毒的藏身之处,好让大家以后直接揪出内鬼。
1、一般的病毒在开机时启动双进程坚守、关闭杀毒程序。HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run是否有陌生启动项。这里属于常规启动项,很多程序会写在这里。
2、如果杀毒软件难于清理、或被关闭了杀毒程序,也有可能是被执行挂钩了。这时候应当检测HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks,大量恶意软件以及病毒均会写入这里。因为,很少有正常程序会写入这里,病毒几率非常大。
3、有的时候,安全模式下杀毒程序被关闭了。重点检查一下HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows\Appinit_Dlls。很少有正常程序会写入这个位置,病毒几率极高。
4、有些病毒是写入底层服务与rootkits驱动,所以才导致清除困难。用户可以重点检查HKLM\System\CurrentControlSet\Services。
5、如果发现某个特定文件名的文件无法执行了,十有八九是被映像劫持,重点排查HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options,大多数AV病毒均会写在这里。当然,被劫持的文件不一定是exe文件。有的病毒为了防止ani.ani还原病毒主文件,便劫持ani.ani文件。
1、一般的病毒在开机时启动双进程坚守、关闭杀毒程序。HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run是否有陌生启动项。这里属于常规启动项,很多程序会写在这里。
2、如果杀毒软件难于清理、或被关闭了杀毒程序,也有可能是被执行挂钩了。这时候应当检测HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks,大量恶意软件以及病毒均会写入这里。因为,很少有正常程序会写入这里,病毒几率非常大。
3、有的时候,安全模式下杀毒程序被关闭了。重点检查一下HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows\Appinit_Dlls。很少有正常程序会写入这个位置,病毒几率极高。
4、有些病毒是写入底层服务与rootkits驱动,所以才导致清除困难。用户可以重点检查HKLM\System\CurrentControlSet\Services。
5、如果发现某个特定文件名的文件无法执行了,十有八九是被映像劫持,重点排查HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options,大多数AV病毒均会写在这里。当然,被劫持的文件不一定是exe文件。有的病毒为了防止ani.ani还原病毒主文件,便劫持ani.ani文件。
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 捣毁病毒流氓软件窝点必查七个注册表
- 捣毁病毒流氓软件窝点必查七个注册表
- 病毒及流氓软件自我复制的简单实现
- 元旦人类休闲,病毒、木马、流氓软件仍坚守岗位
- 病毒及流氓软件自我复制的简单实现
- logogo的变种 流氓软件衍生的病毒
- 近期常见流氓广告软件、病毒插件宣判清除大会!
- 彻底卸载注册表、流氓软件的工具Uninstall Tool
- 病毒及流氓软件自我复制的简单实现(C#)
- 病毒及流氓软件自我复制的简单实现(C#)
- 病毒及流氓软件自我复制的简单实现(C#)
- 流氓软件,病毒...
- 病毒及流氓软件自我复制的简单实现(C#)
- 病毒及流氓软件自我复制的简单实现(C#)
- 修理中了病毒和N多流氓软件的电脑(第3版)
- 流氓软件+传播(病毒)+核心指令———打造无法杀掉的恶意程序
- 病毒及流氓软件自我复制的简单实现(C#)
- 病毒及流氓软件自我复制的简单实现(C#)
- 紧急提醒:大家千万不要乱点回复者的个人blog地址,极有可能带上病毒或流氓软件!
- 病毒及流氓软件自我复制的简单实现