问题描述
今天由我这个小菜来给大家综合一下病毒到底藏在什么地方,关于这方面的文章网上很多大家可以去查一下,当然我做的也不是很全面,我还是个初学者,由于是第一次发帖,肯定会有很多缺陷,请大家多多谅解,如果这个文章对大家有所帮助,我还是心满意足了。废话少说,Let'sgo!1:Win.ini和System.ini中(位于系统盘的Windows文件夹中)在Win.ini中"run="和"load="下什么都没有在System.ini中"shell=文件名",这个文件名必须是explorer.exe,在这里特别要细心的看,看看explorer.exe是不是写成expl0rer.exe或者iexplorer.exe等类似的。如果满足以上俩个条件,那么可以说win.ini和system.ini是正常的文件。win.ini对应的注册表为:HKCUSoftwareMicrosoftWindowsNTCurrentVersionWindowsRunsystem.ini对应的注册表为:HKLMSoftwareMicrosoftWindowsNTCurrentVersionWinlogonShell2:检查系统配置和注册表Win+R调出运行对话框输入msconfig按回车调出系统配置,在启用项里查找不明的程序,勾掉前面的对话框按确定,那么系统在下次启动时不加载勾掉的程序。注册表启动项:HKLMSoftwareMicrosoftWindowsCurrentVersionRunHKLMSoftwareMicrosoftWindowsCurrentVersionRunonceHKLMSoftwareMicrosoftWindowsCurrentVersionRunservicesHKCUSoftwareMicrosoftWindowsCurrentVersionRunHKCUSoftwareMicrosoftWindowsCurrentVersionRunonceHKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRunHKCUSoftwareMicrosoftWindowsCurrentVersionExplorerShellFoldersstartup="c:/windows/startmenu/programs/startup"3:Autoexec.bat文件(位于系统盘根目录)随着系统启动自动运行的批处理文件,只加载windows必备的系统进程,如path(路径),smartdrv(硬盘加速),mouse(鼠标驱动),set(设置环境变量)等如果有不明的东东的话,就应该更加注意一些了。有的系统的autoexec.bat文件的大小为0kb,这很正常,(*我要是没有记错的话autoexec.bat文件的大小不超过64kb,如果大于64kb那么这个文件一定有问题。)4:Temp临时文件夹中这种病毒很多,有的也很顽固,一般杀毒软件都可以查杀,但往往杀的都不是很彻底,这里建议使用木马专杀工具,比如:AVG,TrojanHunter,木马克星等等。个人建议手工删除法,在安全模式下,和文件粉碎软件一同使用。5:$NTUNINSTALLQ$(*代表数字,一般为微软更新补丁)恶意脚本病毒,常在系统盘下生成文件夹$NTUNINSTALL$,冒充微软更新补丁,带隐藏属性,来迷惑别人。6:dll行病毒这类病毒一般是后门病毒,启动dll文件的exe载体是不可缺少的,被称为Loader,那么dll文件怎么运行呢?因此好的dll后门会尽量保护自己的Loader不被查杀。Loader方式有很多,可以是专门为dll编写的exe文件,也可以是rundll32.exe和svchost.exe,即使停止了rundll32.exe和svchost.exe,dll后门还是存在的,svchost.exe对应的注册表的位置HKLMSoftwareMicrosoftWindowsNTCurrentVersionSvchost每个键值表示一个独立的Svchost.exe系统盘:windowssystem32svchost.exe存在一个svchost.exe系统盘:windowssystem32dllcachesvchost.exe存在一个svchost.exe对策:因为后门打开特定的端口,dll后门也不例外,可以再cmd里输入netstat-ano查看可疑的进程,把端口关闭。关闭端口方法有很多,可以用防火墙进行端口关闭,配置ip安全策略把端口关闭。在此不做介绍。8:autorun.inf(位于系统根目录,自启动文件)由于网上关于autorun.inf的文章很多,再此不做介绍。