殺毒軟件能都查殺已知的病毒,但是對於未知的病毒有點無能爲例,具有一定的滯後性。雖然殺軟不斷的改進和增強對註冊表的監控和hips技術,通過了解常見病毒的常採用的伎倆對於大家手動查殺病毒非常的有幫助。下面重點介紹病毒常見的破壞形式。
1.自啓動
***病毒爲了達到不可告人的目的,經常會採用隨着windows操作系統系統而自動加載病毒程序,常見的在註冊表中的自啓動位置:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Notify,
此外還有 開始啓動菜單:X:\Documents and Settings\用戶名\「開始」菜單\程序\啓動 (X爲系統盤所在位置)對應的註冊表鍵值:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
病毒都利用這些暗地裏隱藏有些進程甚至直接提升爲系統程序。
2. 系統還原
系統還原技術爲恢復以前的系統數據提供了便利,同時也成了病毒的溫牀,備份系統文件的同時,收到感染的文件也有可能被作爲備份文件存儲起來,破壞系統還原點對於這類是一個非常有效的途徑。病毒位於X:\SYSTEM VOLUME INFORMATION路徑下(X代表驅動器盤符)通過禁用系統還原功能,右鍵"我的電腦"—>屬性—>系統還原—>"在所有驅動器上關閉系統還原" 打勾。
3. 映像劫持
全稱Image FileExecution Options簡稱IFEO
常見的主要症狀有
a、殺毒軟件的監控無法開啓;
b、殺毒軟件點擊升級沒有反應;;
c、殺毒軟件無法安裝;
d、殺毒軟件無法運行;
e、多種安全輔助工具無法正常運行
對應的註冊表項HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
通過導入相對應的註冊表項,或者通過光盤修復可以實現。
4. 破壞安全模式和隱藏文件
安全模式提供了一個相對封閉的環境,對於查殺病毒比較的徹底,使得病毒或者***缺少了依附的土壤,在該環境下通過殺軟可以絞殺病毒。
病毒、***爲了達到目的,採用隱藏的方式,病毒運行時修改註冊表,會將自身注入到系統正常的進程中。
病毒爲了逃避查殺,經常採用該方法 。
5. ShellExecuteHook
ShellExecuteHook中文含義是執行掛鉤,其本身是操作系統的一個正常的功能,它採用掛鉤系統的Explorer的ShellExecute函數,這項功能現在被越來越多的病毒、***所採用,實現隨系統啓動。
6. AppInit_Dlls
AppInit_Dlls是一種系統全局性的Hook(system-widehook),AppInit_Dlls的鍵值是一個非常危險的鍵值,AppInit_Dlls鍵值位於註冊表 HKLM\Microsoft \WindowsNT\CurrentVersion\Windows下面,相對於其他的註冊表啓動項來說,這個鍵值的特殊之處在於任何使用到 User32.dll的EXE、DLL、OCX等類型的PE文件都會讀取這個地方,並且根據約定的規範將這個鍵值下指向的DLL文件進行加載,加載的方式是調用LoadLibrary。使用了User32.DLL,都會對AppInit_Dlls鍵值指向的DLL進行加 載。這個是日誌的一部分
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<> [N/A]默認是這一個
但是有例外 而ieprot.dll是瑞星卡卡助手的,這個是正常的,
還有這個如果安裝了Comodo的話Appinit_dll也會有個C:\Windows\system32\guard32.dll同樣也是正常的項目,
其他的一般加載都是病毒
7. Services
Services 中文含義是 服務,操作系統(os)要正常的運行,就少不了一些服務,一些***通過加載服務來達到隨系統啓動的目的, 所有服務在註冊表中都有相對應的位置,這些位置有如下幾個
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
現在的病毒越來越狡猾了,瞭解常見的服務項,檢查可疑服務項,對於查殺病毒有一定的幫助 。
8.文件關聯
可能被病毒修改用於啓動病毒的 .比較常見的是.exe關聯方式被破壞 ,其他的也有可能被病毒利用.對應的註冊表項主要有一下幾項:
HKEY_CLASSES_Root\.exe
HKEY_CLASSES_Root\.com
HKEY_CLASSES_Root\.bat
HKEY_CLASSES_Root\.VBS
HKEY_CLASSES_Root\.JS
HKEY_CLASSES_Root\.JSE
HKEY_CLASSES_Root\.WSF
HKEY_CLASSES_Root\.WSH
HKEY_CLASSES_Root\.Pif
HKEY_CLASSES_Root\.INk
HKEY_CLASSES_Root\.scr
HKEY_CLASSES_Root\.txt
HKEY_CLASSES_Root\.ini
有許多優秀工具比如HijackThis,SREng,IceSword,autoruns,wsyscheck。可以作爲輔助查殺的工具,這些工具需要對系統有一定的熟悉程度,熟悉註冊表,不建議入門者使用.
對於廣大的網民,平時養成一個良好的習慣,瞭解病毒常採用的伎倆,對於預防和防治病毒工作非常的有幫助,對於病毒的防治採用預防爲主,防治結合的原則,加強日常的管理和維護,非常的關鍵。