病毒防治

捣毁病毒流氓软件窝点必查7个注册表

日期:2010/4/3 12:41:11来源: 绿色资源网

  黑与白,阴与阳,正与反,善与恶,对与错,是与非,自古以来都是伴保留在,这是六合的法例。  

  道高一尺,魔高一丈。并不是说魔更厉害,而是意指此消彼长互相倾轧的一个过程。  

  一款好的杀毒软件和平安软件是怎么做出来的?  

  是按照混混软件、病毒木马的行为习惯加以剖析,对起可能操作的裂痕或者隐身场所加以提防。

  一款“毒”的恶意软件病毒木马是怎么做出来的?  

  是按照Windows系统或者平安软件的疏忽或者可乘之处开发出来的。为啥电脑熟行都举荐巨匠使用Windows7、Vista而不是继续使用XP,为什么微软也几回再三建议用户进级使用最新的浏览器,就是因为微软在新版本软件中慢慢填补和提防了这些疏忽之处。  

  下面软媒小编和巨匠谈及的就是杀毒软件平安软件和恶意软件都彼此争战的场所,在Windows的注册表中,有恶意软件至爱的7个窝点,更胜于狡兔的三窟啊——  

  今天电脑的普及水平之高完全可以说是全社会的普及了,可是随之而来的较量争论机病毒问题也成了社会问题,尽管杀毒软件天天都在更新,而匹敌杀毒软件以及检测工具扫描的病毒爷爷不竭地更新,它们有的甚至会封锁杀毒软件以及检测工具。我就碰着过防火墙被封锁,WOW账户被盗。尽管较量争论机很普及,可是绝年夜年夜都用户对于软件的读写知之甚少,很难判定它们藏在哪里。而这种情形下杀毒软件以及平安工具无法运行。这时辰要想删除病毒,就必需知道潜匿在哪里,是什么病毒。这里列举声名一些常见反杀病毒的检测位置。   

  1、赫赫有名的AV终结者变种轨范在开机时启动双历程死守、封锁杀毒轨范。一般来说,发现防火墙被封锁,就有可能是它惠临驾到了。检测HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run是否有它的踪影。这里属于常规启动项,良多轨范会写在这里。   

  2、若是杀毒软件难于清理、或被封锁了杀毒轨范,也有可能是被执行挂钩了。这时辰理当检测HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks,年夜量恶意软件以及病毒均会写入这里。因为,很少有正常轨范会写入这里,病毒几率很是年夜。

  3、有的时辰,平安模式也加载,杀毒轨范被封锁了。这有可能就是机械狗新变种或磁碟机变种在作梗。重点搜检一下HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows\Appinit_Dlls。很少有正常轨范会写入这个位置,病毒几率极高。   

  4、灰鸽子是很有名的病毒了,此刻出想了它的变种,而且难于发现与清理,可以封锁杀毒轨范。因为病毒是写入底层处事与rootkits驱动,所以才导致断根坚苦。用户可以重点搜检HKLM\System\CurrentControlSet\Services。   

  5、若是发现某个特定文件名的文件无法执行了,十有八九是被映像劫持,重点排查HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options,年夜年夜都AV病毒均会写在这里。当然,被劫持的文件不必然是exe文件。有的病毒为了防止ani.ani还原病毒主文件,便劫持ani.ani文件。   

  6、飘雪变种病毒可以将杀毒软件安装文件进行删除,而且会改削hosts文件、在QQ目录下写入潜匿的病毒dll而且改削API HOOH。这时可以重点搜检HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler   

  7、HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad   

  值得一提的是,上述剖析工作需要具备常用软件以及操作系统丰硕的使用经验,对于注册表和操作系统不甚体味的用户建议重装系统。本文仅例举了几个常见的反杀病毒的关注位置供巨匠参考。其实,具有反杀能力的病毒还良多,接待泛博读者伴侣们授与赐正和指教。

  啊,至于你但愿把这些工具用在平安提防上仍是想做点坏事,这个要谨记勿以恶小而为之的古训啊。

相关文章

相关下载

网友评论

我要评论...
    没有更早的评论了
    取消