教你找反杀毒程序的躲藏地[网络技术]

本日电脑的遍及程度之高完好可以说是全社会的遍及了,但是随之而来的计算机病毒问题也成了社会问题,固然杀毒软件每天都在更新,而抵挡杀毒软件以及检测工具扫描的病毒爷爷不断地更新,它们有的乃至会关闭杀毒软件以及检测工具.我就碰到过防火墙被关闭,WOW账户被盗.固然计算机很遍及,但是绝大大都用户关于软件的读写知之甚少,很难判断它们藏在那边.而这种情形下杀毒软件以及安全工具无法运行.这时刻要想删除病毒,就必须知道躲藏在那边,是什么病毒.这里摆列阐明一些常见反杀病毒的检测位置.

    大名鼎鼎的AV终结者变种程序在开机时启动双进程扼守、关闭杀毒程序.普通来说,发现防火墙被关闭,就有大概是它光临驾到了.检测HKLM＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼Run能否有它的踪影.这里属于通例启动项,很多程序会写在这里.

    假如杀毒软件难于清理、或被关闭了杀毒程序,也有大概是被履行挂钩了.这时刻该当检测HKLM＼Software＼Microsoft＼Windows＼CurrentVersion＼Explorer＼ShellExecuteHooks,大量恶意软件以及病毒均会写入这里.因为,很少有正常程序会写入这里,病毒概率非常大.

    有的时刻,安全情势也加载,杀毒程序被关闭了.这有大概就是机械狗新变种或磁碟机变种在作梗.重点查抄一下HKLM＼SOFTWARE＼Microsoft＼WindowsNT＼CurrentVersion＼Windows＼Appinit_Dlls.很少有正常程序会写入这个位置,病毒概率极高.

    灰鸽子是很闻名的病毒了,目前出想了它的变种,并且难于发现与清理,可以关闭杀毒程序.由于病毒是写入底层服务与rootkits驱动,所以才招致排除艰难.用户可以重点查抄HKLM＼System＼CurrentControlSet＼Services.

    假如发现某个特定文件名的文件无法履行了,十有八九是被映像劫持,重点排查HKLM＼Software＼Microsoft＼WindowsNT＼CurrentVersion＼Image File Execution Options,大大都AV病毒均会写在这里.当然,被劫持的文件不一定是exe文件.有的病毒为了避免ani.ani复原病毒主文件,便劫持ani.ani文件.

    飘雪变种病毒可以将杀毒软件安装文件举行删除,并且会改正hosts文件、在QQ目录下写入躲藏的病毒dll并且改正API HOOH.这时可以重点查抄HKLM＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼Explorer＼SharedTaskScheduler

    HKLM＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼ShellServiceObjectDelayLoad

    值得一提的是,上述解析工作需求具有常用软件以及操作系统丰富的利用经验,关于注册表和操作系统不甚理解的用户倡议重装系统.本文仅例举了几个常见的反杀病毒的关注位置供大家参考.其实,具有反杀本领的病毒还很多,欢送广大博友授与斧正和指教.