福利彩票快三

杀毒软件能都查杀已知的病毒，但是对于未知的病毒有点无能为例，具有一定的⌒　滞后性。虽然杀软不断的改进和增强对注册表的☆监控和hips技术，通过了解常见病毒的常采用的伎俩对于大家手▼动查杀病毒非常的有帮助。下面重点介绍病毒常见的破坏形式。

1.自启动

木马病毒为了达到不可告人的目〗的，经常会采用随着windows操作系统系统而自动加载病毒程序，常见的在注册表中的自启动ω　位置:

HKEY_LOCAL_mACHiNE\SOFTWARE\microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_mACHiNE\SOFTWARE\microsoft\Windows\CurrentVersion\RunOnce

HKEY_LOCAL_mACHiNE\SOFTWARE\microsoft\Windows\CurrentVersion\RunOnceEx

HKEY_LOCAL_mACHiNE\SOFTWARE\microsoft\Windows\CurrentVersion\RunOnceEx

HKEY_LOCAL_mACHiNE\SOFTWARE\microsoft\Windows\CurrentVersion\RunServices

HKEY_LOCAL_mACHiNE\SOFTWARE\microsoft\Windows\CurrentVersion\RunServicesOnce

HKEY_CURRENT_USER\Software\microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\microsoft\Windows\CurrentVersion\Runonce

HKEY_LOCAL_mACHiNE\SOFTWARE\microsoft\WindowsNT\CurrentVersion\Winlogon\Notify，

此外还有 开始启动菜单】：X:\Documents and Settings\用户名\「开始」菜单\程序\启动 (X为系统盘所在位置)对应的注册◎表键值：HKEY_CURRENT_USER\SOFTWARE\microsoft\Windows\CurrentVersion\Explorer\Shell Folders

病毒都利用这些暗地里隐藏有些进程甚至直接提升为系统程序。

2. 系统还原

系统还原技术为】恢复以前的系统数据提供了∩便利，同时也成了病毒的温床，备份◤系统文件的同时，收到感染的文件也有可能被作为备份文件存储起来，破坏系统还原点对于这类是█一个非常有◣效的途径。病毒位于X:\SYSTEm VOLUmE iNFORmATiON路径下（X代表驱动器盘符）通过禁用系统还原功能，右键"我的电脑"—>属性—>系统还原—>"在所有驱动器上关闭系ㄨ统还原" 打勾。

3. 映像劫持

全称image FileExecution Options简称iFEO

常见的主要症状有

a、杀毒软件的□　监控无法开启；

b、杀毒软件点击升级没〇有反应；；

c、杀毒软件无法安装；

d、杀毒软件无法运行；

e、多种安全辅助●工具无法正常运行

对应的注册表项HKEY_LOCAL_mACHiNE\SOFTWARE\microsoft\Windows NT\CurrentVersion\image File Execution Options

通¤过导入相对应的注册表项，或者通过光盘修复可以实现。

4. 破坏ξ安全模式和隐藏文件

安全模式提供了一个相对封闭的环境，对♀于查杀病毒比较的彻底，使得病毒或者木马缺少了依附的土壤，在该环境下通过杀软可以绞杀病毒。

病毒、木马为了达到◥目的，采用隐藏的『方式，病毒运行时修改注册表，会将自身注入到系统正≡常的进程中。

病毒为了逃避查杀，经常采用该方法 。

5. ShellExecuteHook

ShellExecuteHook中文含㊣义是执行挂钩，其本身是操作》系统的一个正常的功能，它采用挂钩系统的Explorer的ShellExecute函数，这项功能现在被越来越多的病毒←、木马所采用，实现随系统启动。

6. Appinit_Dlls

Appinit_Dlls是一种系统全局性⊙的Hook（system-widehook），Appinit_Dlls的键值是一个非常危险的键╱值，Appinit_Dlls键值位于注册表 HKLm\microsoft \WindowsNT\CurrentVersion\Windows下面，相对于其他的注册表启动项来说，这个键值的特殊之处〒在于任何使用到 User32.dll的EXE、DLL、OCX等类型的PE文件都会读取这个地方，并且根据约定的规☆范将这个键值下指向的DLL文件进行加载，加载的方式是调用LoadLibrary。使用了User32.DLL，都会对Appinit_Dlls键值指向的DLL进行加 载。这个是〓日志的一部分

[HKEY_LOCAL_mACHiNE\Software\microsoft\Windows NT\CurrentVersion\Windows]

<> [N/A]默认是这一个

但是有例↘外 而ieprot.dll是瑞星卡卡助手的，这个是正常的，

还有这个如果安装了Comodo的话Appinit_dll也会有个C:\Windows\system32\guard32.dll同样也是正常的项▲目，

其他的一般加载都是病毒

7. Services

Services 中文含义是 服务，操作系统（os）要正常▃的运行，就少不了一些服务，一些木马通过加载服务来达到随系统启动〓的目的， 所有服务在注册表中都有相对应的位置,这些位置有如下几个

HKEY_LOCAL_mACHiNE\SYSTEm\ControlSet001\Services

HKEY_LOCAL_mACHiNE\SYSTEm\ControlSet002\Services

HKEY_LOCAL_mACHiNE\SYSTEm\ControlSet003\Services

HKEY_LOCAL_mACHiNE\SYSTEm\CurrentControlSet\Services

现在ξ　的病毒越来越狡猾了，了解常见的服务项，检查可疑服务项，对于◇查杀病毒有一定的帮助 。

8.文件关联

可能被病毒修改用于启动病毒的 .比较常见的是.exe关联方式被︼破坏 ，其他的也有可能被病毒利用.对应的注册表项主要有一下几项：

HKEY_CLASSES_Root\.exe

HKEY_CLASSES_Root\.com

HKEY_CLASSES_Root\.bat

HKEY_CLASSES_Root\.VBS

HKEY_CLASSES_Root\.JS

HKEY_CLASSES_Root\.JSE

HKEY_CLASSES_Root\.WSF

HKEY_CLASSES_Root\.WSH

HKEY_CLASSES_Root\.Pif

HKEY_CLASSES_Root\.iNk

HKEY_CLASSES_Root\.scr

HKEY_CLASSES_Root\.txt

HKEY_CLASSES_Root\.ini

有许多优秀工具比如HijackThis,SREng,iceSword,autoruns，wsyscheck。可以作为辅助查杀∩的工具，这些工具需要对系统有一定的熟悉程度,熟悉▅注册表，不建议入门者使用.

对于广大的网民，平时养成一个良好的习惯，了∞解病毒常采用的伎俩，对于预防和防治病毒工作非常的有帮助，对于病毒的防治采用预防为→主，防治结合的原则，加强日常的管理和维护，非常的∏关键。