有病毒,隨後就出現了殺軟。今天給大家分享下Windows系統中病毒的藏身之處,好讓大家以後直接揪出內鬼。
步驟/方法
1、一般的病毒在開機時啟動雙程序堅守、關閉防毒程式。HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run是否有陌生啟動項。這裡屬於常規啟動項,很多程式會寫在這裡。
2、如果防毒軟體難於清理、或被關閉了防毒程式,也有可能是被執行掛鉤了。這時候應當檢測HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks,大量惡意軟體以及病毒均會寫入這裡。因為,很少有正常程式會寫入這裡,病毒機率非常大。
3、有的時候,安全模式下防毒程式被關閉了。重點檢查一下HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows\Appinit_Dlls。很少有正常程式會寫入這個位置,病毒機率極高。
4、有些病毒是寫入底層服務與rootkits驅動,所以才導致清除困難。使用者可以重點檢查HKLM\System\CurrentControlSet\Services。
5、如果發現某個特定檔名的檔案無法執行了,十有八九是被映像劫持,重點排查HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options,大多數AV病毒均會寫在這裡。當然,被劫持的檔案不一定是exe檔案。有的病毒為了防止ani.ani還原病毒主檔案,便劫持ani.ani檔案。
6、還有一些變種病毒可以將防毒軟體安裝檔案進行刪除,而且會修改hosts檔案、在QQ目錄下寫入隱藏的病毒dll並且修改API HOOH。這時可以重點檢查HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
7、HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
瞭解隱藏之地,找到它就相當容易。大家在安裝完系統的時候,推薦把以上七項登錄檔都備份下。以後中病毒後,可以先直接倒入備份的登錄檔檔案。再把殺軟升級到最新,然後進入安全模式下,進行全盤查殺。想必這樣,病毒不死也大殘了。