找回密码
 注册
搜索
热搜: 超星 读书 找书
查看: 25824|回复: 0

给大家一篇详细介绍如何查毒防毒的文章

[复制链接]
发表于 2004-12-17 09:50:12 | 显示全部楼层 |阅读模式
在网上搜索浏览后,简单整理了一下,有很多现实中可能遇到的情况,自认为对于防毒杀毒比较实用,推荐给大家,有不妥之处,请指正。
***现行招术主要有三种:一、修改 IE 标题栏;二、修改 IE 右键菜单;三、在 windows 启动时增加一个弹出窗口。接下来一一为大家剖析.
世界万事万物都是在不断的发展,不停地变化的,搞恶作剧的人也是诡计多端,招数层出不穷!对 IE 的修改,把自己的网站强硬推荐给别人的手法时时换新,防不胜防!同时,恶作剧的人数也越来越多,各类型的网站都参加了进去,除了原来的黄色网站、美女图库网站以外,又增加了笑话网站、注册表网站、一些乱七八糟的个人网站,包罗万象,数不胜数!也就是说,整个互联网几乎都是这样的陷井,只要你上了网,就有可能中招,就有可能掉进去!
一、IE 标题栏被修改
根据网友们的来信与及自己遭遇的情况(有的网友写得清楚明白,有的只提供网址,作者根据网址自己去测试),恶作剧的手法多数是修改注册表中“IE”的两个键值,一个是:“Windows Title”,另一个是:“StartPage”,尽管只是修改此两个键值,但这两个键值可以存放于三个位置,分别是:

1.[HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Main]

2.[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Internet Explorer\\Main]

3.[HKEY_USERs\\.DEFAULT\\Software\\Microsoft\\Internet Explorer\\Main]

也就是说,只要修改此三个位置的任何一个都可使得IE浏览器标题栏发生改变。
在早期,恶作剧的人一般只是修改第二个位置的键值,所以笔者之前做的注册表文件也只适用于这种修改的情况。
现在,修改任意位置的都有,有些每个位置只修改一个键值,有的更是绝,全部键值都被修改了,于是,当我们只是恢复单个位置的注册表键值时,并没有完全恢复 IE的标题栏。
所以,针对目前的情况,作者做了三个位置的注册表,先把内容提供给网友,让大家了解了解它的原理,内容如下:
REGEDIT4
[HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Main]

\"Window Title\"=\"Microsoft Internet Explorer\"
[HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Main]

\"Start Page\"=\"about:blank\"
[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Internet Explorer\\Main]

\"Window Title\"=\"Microsoft Internet Explorer\"
[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Internet Explorer\\Main]

\"Start Page\"=\"about:blank\"
[HKEY_USERs\\.DEFAULT\\Software\\Microsoft\\Internet Explorer\\Main]

\"Window Title\"=\"Microsoft Internet Explorer\"
[HKEY_USER\\.DEFAULT\\Software\\Microsoft\\Internet Explorer\\Main]

\"Start Page\"=\"about:blank\"

喜欢研究注册表的网友自己通过“开始 -> 运行 -> regedit”进入注册表相应位置,直接修改。
不过还是提醒对注册表没有一定了解的网友不要按照此种方式去操作,一个误操作,可能会引起整个系统的崩溃。尽管可以恢复,但无疑会耽误了对您的时间,影响了您的工作。
简单的解决办法有一个:
兔子魔法(MagicSet)法
本法是基于超级兔子魔法设置 3.92 ,网友们可以去下载安装程序, 下面笔者以自己中招之后的修改过程作介绍。 安装完成之后,启动兔子魔法,显示了主界面: 点击“IE”图标后, 笔者的 IE 被修改了默认打开的网页,需要把它改回本机网站“127.0.0.1”,那么直接在此栏输入“127.0.0.1”,点击“保存”按钮,即可完成恢复。网友们可以输入其它网址,把它改成自己上网常常访问的网站。 如果不希望改成其它网站,点击“使用空白页”按钮,当打开 IE 时,显示的是什么内容也没有的空白网页。 如果 IE 标题也被修改了,那么请点击“复原”按钮。 如果 IE 版本号被修改,只能直接在输入框中输入来恢复。 同时我们也注意到,Outlook 微软的收取邮件软件也可以被修改,兔子魔法为大家考虑非常周到,按照上述方法,大家一样可以使它复原。
二、修改 IE 右键菜单
这种情况很少见。这是通过修改注册表的“HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\MenuExt”,在此位置添加键值来实现的,在IE中显示的附加右键菜单都在这里设置,认识了原理,解决问题就简单多了。
1.注册表法
通过“开始 -> 运行 -> regedit”进入注册表,来到“HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\MenuExt”位置,点击文件夹的“+”号,我们可以看到常见的下载软件网际快车右键下载和“添加QQ网络收藏夹”等等的信息 ,选中不需要的主键,右击鼠标,选择删除命令,重新启动 IE 浏览器即可看到效果。 
2.兔子魔法(MagicSet)法
启动兔子魔法,点击 IE 图标按钮,在弹出的窗口左上方有一个“+”按钮 ,点击此按钮即可进入到 IE 的深入设置窗口。在“IE5 的新增的右键菜单”栏把 IE 的相应附加右键菜单项删除,然后点击“保存”按钮确定修改。 如果你没有注册,软件不提供此项功能,弹出的窗口文字呈灰色,全部不可选。
现在有一种最最可恶的改变别人电脑的方法,那就是:
三、在 windows 启动时弹出一个窗口
这种个修改方法并不是修改了IE,但都是利用了 IE 的漏洞,运行 Script 脚本,修改了注册表。当 windows 启动时,弹出一个窗口,必须点击确定才能进入操作系统,与此同时,自动运行 IE 并访问某个网站。实质上,它修改了下面的注册表键值:
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Winlogon
在此仍然提供两种解决方法。
1.注册表法
选择“开始 -> 运行 -> regedit”,进入注册表,来到:
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Winlogon
在此项右栏找到“LegalNoticeCaption”和“LegalNoticeText”主键,把它们删除即可。
说到简单方便的方法当然是:
2.兔子魔法(MagicSet)法
启动兔子魔法后,点击“安全与多用户”,再点击左上部的“+”号按钮, 把“启动时要显示的标题”和“启动时要显示的信息”两项内容删除,按“保存”按钮,重新启动操作系统,你将不再看到弹出的窗口。
预防方法是:
1.到IE里禁止javasctipt 脚本的运行,因为脚本没有运行,就写不了信息到注册表,不过其它的脚本也运行不了了,对于另一些加了脚本才能正常显示的网页就不好了,那样浏览者将看不到网页设计者的愿意,或者网页提供的某些功能使用不上。
2 把上页生成的iechange.reg注册表文件保存起来,遇到情况运行此文件。
3.把IE版本升级到IE6.0,因为该脚本对IE6.0不起作用。
上述方法中的第一条对于三者都适用,第二条对于前两者适用,第三条的 IE 6.0 新版本已经抵抗不了三类恶作剧了,估计是之前所说的 IE 6.0 版本不支持恶作剧脚本,所以修改情况没有发生。
四、预防方法
1.到IE里禁止javasctipt 脚本的运行。由于现在的网页多数插入了脚本,以达到一定的功能和实现相应的效果,因此,这种喝鸠解渴的方法并实用,建议在IE的设置中将脚本设为“提示”。
2.使用 Windows 2000 系列操作系统,可在一定的程度上遏制恶作剧,比如禁止启动时弹出窗口。
3.在 Win2000 操作系列中,为了增强安全性能,设置有管理工具,我们进入“控制面板” ->“管理工具” -> “服务”,把 Remote Registry Service 服务禁止,浏览网页时恶作剧无法修改注册表了。
4.建议安装 Norton AntiVirus 2002 v8.0 杀毒软件,此软件已经把通过IE修改注册表的代码定义为 Trojan.Offensive ,增加了 Script Blocking 功能,它将对此类恶作剧进行监控,并予以拦截。它也是目前最好的解决方法。
??网上可能处处有陷阱,但只要我们掌握了一些对付此等恶意代码的\"绝招\"就可尽情地放心冲浪了,本专题我们就来探讨一下恶意代码的类型及其对付方法:
1.禁止使用电脑
??危害程度:★★★★
??感染概率:**
??现象描述:尽管网络流氓们用这一招的不多,但是一旦你中招了,后果真是不堪设想!浏览了含有这种恶意代码的网页其后果是:\"关闭系统\"、\"运行\"、\"注销\"、注册表编辑器、DOS程序、运行任何程序被禁止,系统无法进入\"实模式\"、驱动器被隐藏。
??解决办法:一般来说上述八大现象你都遇上了的话,基本上系统就给\"废\"了,建议重装。
??
??2.格式化硬盘
??危害程度:★★★★★
??感染概率:*
??现象描述:这类恶意代码的特征就是利用IE执行ActiveX的功能,让你无意中格式化自己的硬盘。只要你浏览了含有它的网页,浏览器就会弹出一个警告说\"当前的页面含有不安全的ActiveX,可能会对你造成危害\",问你是否执行。如果你选择\"是\"的话,硬盘就会被快速格式化,因为格式化时窗口是最小化的,你可能根本就没注意,等发现时已悔之晚矣。
??解决办法:除非你知道自己是在做什么,否则不要随便回答\"是\"。该提示信息还可以被修改,如改成\"Windows正在删除本机的临时文件,是否继续\",所以千万要注意!此外,将计算机上Format.com、Fdisk.exe、Del.exe、Deltree.exe等命令改名也是一个办法。
??
??3.下载运行木马程序
??危害程度:★★★
??感染概率:***
??现象描述:在网页上浏览也会中木马?当然,由于IE5.0本身的漏洞,使这样的新式入侵手法成为可能,方法就是利用了微软的可以嵌入exe文件的eml文件的漏洞,将木马放在eml文件里,然后用一段恶意代码指向它。上网者浏览到该恶意网页,就会在不知不觉中下载了木马并执行,其间居然没有任何提示和警告!
??解决办法:第一个办法是升级您的IE5.0,IE5.0以上版本没这毛病;此外,安装金山毒霸、Norton等病毒防火墙,它会把网页木马当作病毒迅速查截杀。
??
??4.注册表的锁定
??危害程度:★★
??感染概率:***
??现象描述:有时浏览了恶意网页后系统被修改,想要用Regedit更改时,却发现系统提示你没有权限运行该程序,然后让你联系管理员。晕了!动了我的东西还不让改,这是哪门子的道理!
??解决办法:能够修改注册表的又不止Regedit一个,找一个注册表编辑器,例如:Reghance。将注册表中的HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System下的DWORD值\"DisableRegistryTools\"键值恢复为\"0\",即可恢复注册表。
??
??5.默认主页修改
??危害程度:★★★
??感染概率:*****
??现象描述:一些网站为了提高自己的访问量和做广告宣传,利用IE的漏洞,将访问者的IE不由分说地进行修改。一般改掉你的起始页和默认主页,为了不让你改回去,甚至将IE选项中的默认主页按钮变为失效的灰色。不愧是网络流氓的一惯做风。
??解决办法:1.起始页的修改。展开注册表到HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main,在右半部分窗口中将\"Start Page\"的键值改为\"about:blank\"即可。同理,展开注册表到HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main,在右半部分窗口中将\"Start Page\"的键值改为\"about:blank\"即可。
??注意:有时进行了以上步骤后仍然没有生效,估计是有程序加载到了启动项的缘故,就算修改了,下次启动时也会自动运行程序,将上述设置改回来,解决方法如下:
??运行注册表编辑器Regedit.exe,然后依次展开HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run主键,然后将下面的\"registry.exe\"子键(名字不固定)删除,最后删除硬盘里的同名可执行程序。退出注册编辑器,重新启动计算机,问题就解决了。
??2.默认主页的修改。运行注册表编辑器,展开HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\,将Default-Page-URL子键的键值中的那些恶意网站的网址改正,或者设置为IE的默认值。
??3.IE选项按钮失效。运行注册表编辑器,将HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel中的DWORD值\"Settings\"=dword:1、\"Links\"=dword:1、\"SecAddSites\"=dword:1全部改为\"0\",将HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel下的DWORD值\"homepage\"的键值改为\"0\"。
??
??6.篡改IE标题栏
??危害程度:★
??感染概率:*****
??现象描述:在系统默认状态下,由应用程序本身来提供标题栏的信息。但是,有些网络流氓为了达到广告宣传的目的,将串值\"Windows Title\"下的键值改为其网站名或更多的广告信息,从而达到改变IE标题栏的目的。非要别人看他的东西,而且是通过非法的修改手段,除了\"无耻\"两个字,再没有其它形容词了。
??解决办法:展开注册表到HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\下,在右半部分窗口找到串值\"Windows Title\",将该串值删除。重新启动计算机。
??
??7.篡改默认搜索引擎
??危害程度:★★★
??感染概率:*
??现象描述:在IE浏览器的工具栏中有一个搜索引擎的工具按钮,可以实现网络搜索,被篡改后只要点击那个搜索工具按钮就会链接到网络注氓想要你去的网站。
??解决办法:运行注册表编辑器,依次展开HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\CustomizeSearch和HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\SearchAssistant,将CustomizeSearch及SearchAssistant的键值改为某个搜索引擎的网址即可。
??
??8.IE右键修改
??危害程度:★★
??感染概率:***
??现象描述:有的网络流氓为了宣传的目的,将你的右键弹出的功能菜单进行了修改,并且加入了一些乱七八糟的东西,甚至为了禁止你下载,将IE窗口中单击右键的功能都屏蔽掉。
??解决办法:1.右键菜单被修改。打开注册表编辑器,找到HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt,删除相关的广告条文。
??2.右键功能失效。打开注册表编辑器,展开到HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions,将其DWORD值\"NoBrowserContextMenu\"的值改为0。
??
??9.篡改地址栏文字
??危害程度:★★
??感染概率:***
??现象描述:中招者的IE地址栏下方出现一些莫名其妙的文字和图标,地址栏里的下拉框里也有大量的地址,并不是你以前访问过的。
??解决办法:1.地址栏下的文字。在HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\ToolBar下找到键值LinksFolderName,将其中的内容删去即可。
??2.地址栏中无用的地址。在HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypeURLs中删除无用的键值即可。
??
??10.启动时弹出对话框
??危害程度:★★★
??感染概率:**
??现象描述:1.系统启动时弹出对话框,通常是一些广告信息,例如欢迎访问某某网站等等。2.开机弹出网页,通常会弹出很多窗口,让你措手不及,恶毒一点的,可以重复弹出窗口直到死机。
??解决办法:1.弹出对话框。打开注册表编辑器,找到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon主键,然后在右边窗口中找到\"LegalNoticeCaption\"和\"LegalNoticeText\"这两个字符串,删除这两个字符串就可以解决在启动时出现提示框的现象了。
??2.弹出网页。点击\"开始-运行-输入msconfig\",选择\"启动\",把里面后缀为url、html、htm的网址文件都勾掉。
??
??11.IE窗口定时弹出
??危害程度:★★
??感染概率:**
??现象描述:中招者的机器每隔一段时间就弹出IE窗口,地址指向网络注氓的个人主页。不晓得是不是网络流氓以为这样你就会经常光顾?
??解决办法:点击\"开始-运行-输入msconfig\",选择\"启动\",把里面后缀为hta的都勾掉,重启。
?? 互联网上形形色色的网络陷阱,让上网冲浪者闻之色变,其实,只要做好周密的防范,恶意代码又奈我何?!
??第一招:升级IE浏览版本
??大部分的恶意代码只对IE5.0版本有效,而无论是Windows98还是Windows2000,初始安装时都是低于IE5.0的版本,因此千万不要图一时之困,还是赶快升级吧!
??第二招:安装天网防火墙
??天网防火墙除了有隔绝恶意网络攻击的功能外,它特有的天网安全检测修复系统,对防范恶意代码有特效。即使你使用的是IE5.0,用该系统修复漏洞之后,恶意代码也对你没有危害了。
??第三招:安装金山毒霸、诺顿等病毒防火墙
??通常病毒防火墙都内置了大量查杀VBS、Javascript恶意代码的特征库,能够有效地警示、查杀、隔离含有恶意代码的网页。
??第四招:安装超级兔子的IE保护器
??一旦发现中招,在不重新启动机器的前提下,运行IE保护器,清除所有的改动即可。
??第五招:利用\"魔法石\"网页
??由3721提供的\"魔法石\"http://magic.3721.com网页可以帮助我们在线清除恶意代码、优化网络、方便地进行个性化设置等。要清除恶意代码,只要点击安全与恢复栏目,这时会出现一个对话框要求安装魔法石,照提示点击\"确定\"后就可以方便地完成

如何判断你的电脑是否中毒
各种病毒时至今日也可算是百花齐放了,搞得人心惶惶,一旦发现自己的电脑有点异常就认定是病毒在作怪,到处找杀毒软件,一个不行,再来一个,总之似乎不找到“元凶”誓不罢休一样,结果病毒软件是用了一个又一个,或许为此人民币是用了一张又一张,还是未见“元凶”的踪影,其实这未必就是病毒在作怪。 这样的例子并不少见,特别是对于一些初级电脑用户。下面我就结合个人电脑使用及企业网络维护方面的防毒经验从以下几个方面给大家介绍介绍如何判断是否中了病毒,希望对帮助识别“真毒”有一定帮助!
病毒与软、硬件故障的区别和联系
电脑出故障不只是因为感染病毒才会有的,个人电脑使用过程中出现各种故障现象多是因为电脑本身的软、硬件故障引起的,网络上的多是由于权限设置所致。我们只有充分地了解两者的区别与联系,才能作出正确的判断,在真正病毒来了之时才会及时发现。下面我就简要列出了分别因病毒和软、硬件故障引起的一些常见电脑故障症状分析。
经常死机:病毒打开了许多文件或占用了大量内存;不稳定(如内存质量差,硬件超频性能差等);运行了大容量的软件占用了大量的内存和磁盘空间;使用了一些测试软件(有许多BUG);硬盘空间不够等等;运行网络上的软件时经常死机也许是由于网络速度太慢,所运行的程序太大,或者自己的工作站硬件配置太低。
系统无法启动:病毒修改了硬盘的引导信息 ,或删除了某些启动文件。如引导型病毒 引导文件损坏;硬盘损坏或参数设置不正确;系统文件人为地误删除等。
文件打不开:病毒修改了文件格式;病毒修改了文件链接位置。文件损坏;硬盘损坏;文件快捷方式对应的链接位置发生了变化;原来编辑文件的软件删除了;如果是在局域网中多表现为服务器中文件存放位置发生了变化,而工作站没有及时涮新服器的内容(长时间打开了资源管理器)。
经常报告内存不够: 病毒非法占用了大量内存;打开了大量的软件;运行了需内存资源的软件;系统配置不正确;内存本就不够(目前基本内存要求为128M)等。
提示硬盘空间不够:病毒复制了大量的病毒文件(这个遇到过好几例,有时好端端的近10G硬盘安装了一个WIN98或WINNT4.0系统就说没空间了,一安装软件就提示硬盘空间不够。硬盘每个分区容量太小;安装了大量的大容量软件;所有软件都集中安装在一个分区之中;硬盘本身就小;如果是在局域网中系统管理员为每个用户设置了工作站用户的“私人盘”使用空间限制,因查看的是整个网络盘的大小,其实“私人盘”上容量已用完了。
软盘等设备未访问时出读写信号:病毒感染;软盘取走了还在打开曾经在软盘中打开过的文件。
出现大量来历不明的文件:病毒复制文件;可能是一些软件安装中产生的临时文件;也或许是一些软件的配置信息及运行记录。
启动黑屏:病毒感染(记得最深的是98年的4.26,我为CIH付出了好几千元的代价,那天我第一次开机到了Windows画面就死机了,第二次再开机就什么也没有了);显示器故障;显示卡故障;主板故障;超频过度;CPU损坏等等
数据丢失:病毒删除了文件;硬盘扇区损坏;因恢复文件而覆盖原文件;如果是在 网络上的文件,也可能是由于其它用户误删除了。
键盘或鼠标无端地锁死:病毒作怪,特别要留意“木马”;键盘或鼠标损坏;主板上键盘或鼠标接口损坏;运行了某个键盘或鼠标锁定程序,所运行的程序太大,长时间系统很忙,表现出按键盘或鼠标不起作用。
系统运行速度慢:病毒占用了内存和CPU资源,在后台运行了大量非法操作;硬件配置低;打开的程序太多或太大;系统配置不正确;如果是运行网络上的程序时多数是由于你的机器配置太低造成,也有可能是此时网路上正忙,有许多用户同时打开一个程序;还有一种可能就是你的硬盘空间不够用来运行程序时作临时交换数据用。
系统自动执行操作:病毒在后台执行非法操作;用户在注册表或启动组中设置了有关程序的自动运行;某些软件安装或升级后需自动重启系统。
通过以上的分析对比,我们知道其实大多数故障都可能是由于人为或软、硬件故障造成的,当我们发现异常后不要急于下断言,在杀毒还不能解决的情况下,应仔细分析故障的特征,排除软、硬件及人为的可能性。
如何检查你的电脑中是否含有病毒,要知道这些我们可以按以下几个方法来判断。
1、反病毒软件的扫描法
这恐怕是我们绝大数朋友首选,也恐怕是唯一的选择,现在病毒种类是越来越多,隐蔽的手段也越来越高明,所以给查杀病毒带来了新的难度,也给反病毒软件开发商带来挑战。但随着计算机程序开发语言的技术性提高、计算机网络越来越普及,病毒的开发和传播是越来越容易了,因而反病毒软件开发公司也是越来越多了。
2、观察法
这一方法只有在了解了一些病毒发作的症状及常栖身的地方才能准确地观察到。如硬盘引导时经常出现死机、系统引导时间较长、运行速度很慢、不能访问硬盘、出现特殊的声音或提示等上述在第一大点中出现的故障时,我们首先要考虑的是病毒在作怪,但也不能一条胡洞走到底,上面我不是讲了软、硬件出现故障同样也可能出现那些症状 嘛!对于如属病毒引起的我们可以从以下几个方面来观察:
a、内存观察
这一方法一般用在DOS下发现的病毒,我们可用DOS下的“mem/c/p”命令来查看各程序占用内存的情况,从中发现病毒占用内存的情况(一般不单独占用,而是依附在其它程序之中),有的病毒占用内存也比较隐蔽,用“mem/c/p”发现不了它,但可以看到总的基本内存640K之中少了那么区区1k或几K。
b、注册表观察法
这类方法一般适用于近来出现的所谓***程序,如木马程序,这些病毒一般是通过修改注册表中的启动、加载配置来达到自动启动或加载的,一般是在如下几个地方实现:

  [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windwos\\CurrentVersion\\Run]

  [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windwos\\CurrentVersionRunOnce]

  [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windwos\\CurrentVersionRunSevices]

  [HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run]

  [HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion

  \\RunOnce]

  等等,具体可参考我的另一篇文章——《通通透透看木马》,在其中对注册表中可能出现的地方会有一个比较详尽的分析。
c、系统配置文件观察法
这类方法一般也是适用于***类程序,这类病毒一般在隐藏在system.ini 、wini.ini(Win9x/WinME)和启动组中,在system.ini文件中有一个\"shell=”项,而在wini.ini文件中有“load= ”、“run= ”项,这些病毒一般就是在这些项目中加载它们自身的程序的,注意有时是修改原有的某个程序。我们可以运行Win9x/WinME中的msconfig.exe程序来一项一项查看。具体也可参考我的《通通透透看木马》一文。
d、特征字符串观察法
这种方法主要是针对一些较特别的病毒,这些病毒入侵时会写相应的特征代码,如CIH病毒就会在入侵的文件中写入“CIH”这样的字符串,当然我们不可能轻易地发现,我们可以对主要的系统文件(如Explorer.exe)运用16进制代码编辑器进行编辑就可发现,当然编辑之前最好还要要备份,毕竟是主要系统文件。
 e、硬盘空间观察法
有些病毒不会破坏你的系统文件,而仅是生成一个隐藏的文件,这个文件一般内容很少,但所占硬盘空间很大,有时大得让你的硬盘无法运行一般的程序,但是你查又看不到它,这时我们就要打开资源管理器,然后把所查看的内容属性设置成可查看所有属性的文件(这方法应不需要我来说吧?),相信这个庞然大物一定会到时显形的,因为病毒一般把它设置成隐藏属性的。到时删除它即可,这方面的例子在我进行电脑网络维护和个人电脑维修过程中见到几例,明明只安装了几个常用程序,为什么在C盘之中几个G的硬盘空间显示就没有了,经过上述方法一般能很快地让病毒显形的
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

Archiver|手机版|小黑屋|网上读书园地

GMT+8, 2024-12-25 23:30 , Processed in 0.201867 second(s), 6 queries , Redis On.

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表