病毒常用的伎倆【轉(zhuǎn)貼】

殺毒軟件能都查殺已知的病毒，但是對于未知的病毒有點無能為例，具有一定的滯后性。雖然殺軟不斷的改進和增強對注冊表的監(jiān)控和hips技術(shù)，通過了解常見病毒的常采用的伎倆對于大家手動查殺病毒非常的有幫助。下面重點介紹病毒常見的破壞形式。

1.自啟動

木馬病毒為了達到不可告人的目的，經(jīng)常會采用隨著windows操作系統(tǒng)系統(tǒng)而自動加載病毒程序，常見的在注冊表中的自啟動位置:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Notify，

此外還有 開始啟動菜單：X:\Documents and Settings\用戶名\「開始」菜單\程序\啟動 (X為系統(tǒng)盤所在位置)對應(yīng)的注冊表鍵值：HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders

病毒都利用這些暗地里隱藏有些進程甚至直接提升為系統(tǒng)程序。

2. 系統(tǒng)還原

系統(tǒng)還原技術(shù)為恢復以前的系統(tǒng)數(shù)據(jù)提供了便利，同時也成了病毒的溫床，備份系統(tǒng)文件的同時，收到感染的文件也有可能被作為備份文件存儲起來，破壞系統(tǒng)還原點對于這類是一個非常有效的途徑。病毒位于X:\SYSTEM VOLUME INFORMATION路徑下（X代表驅(qū)動器盤符）通過禁用系統(tǒng)還原功能，右鍵"我的電腦"—>屬性—>系統(tǒng)還原—>"在所有驅(qū)動器上關(guān)閉系統(tǒng)還原" 打勾。

3. 映像劫持

全稱Image FileExecution Options簡稱IFEO

常見的主要癥狀有

a、殺毒軟件的監(jiān)控無法開啟；

b、殺毒軟件點擊升級沒有反應(yīng)；；

c、殺毒軟件無法安裝；

d、殺毒軟件無法運行；

e、多種安全輔助工具無法正常運行

對應(yīng)的注冊表項HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

通過導入相對應(yīng)的注冊表項，或者通過光盤修復可以實現(xiàn)。

4. 破壞安全模式和隱藏文件

安全模式提供了一個相對封閉的環(huán)境，對于查殺病毒比較的徹底，使得病毒或者木馬缺少了依附的土壤，在該環(huán)境下通過殺軟可以絞殺病毒。

病毒、木馬為了達到目的，采用隱藏的方式，病毒運行時修改注冊表，會將自身注入到系統(tǒng)正常的進程中。

病毒為了逃避查殺，經(jīng)常采用該方法 。

5. ShellExecuteHook

ShellExecuteHook中文含義是執(zhí)行掛鉤，其本身是操作系統(tǒng)的一個正常的功能，它采用掛鉤系統(tǒng)的Explorer的ShellExecute函數(shù)，這項功能現(xiàn)在被越來越多的病毒、木馬所采用，實現(xiàn)隨系統(tǒng)啟動。

6. AppInit_Dlls

AppInit_Dlls是一種系統(tǒng)全局性的Hook（system-widehook），AppInit_Dlls的鍵值是一個非常危險的鍵值，AppInit_Dlls鍵值位于注冊表 HKLM\Microsoft \WindowsNT\CurrentVersion\Windows下面，相對于其他的注冊表啟動項來說，這個鍵值的特殊之處在于任何使用到 User32.dll的EXE、DLL、OCX等類型的PE文件都會讀取這個地方，并且根據(jù)約定的規(guī)范將這個鍵值下指向的DLL文件進行加載，加載的方式是調(diào)用LoadLibrary。使用了User32.DLL，都會對AppInit_Dlls鍵值指向的DLL進行加 載。這個是日志的一部分

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]

<> [N/A]默認是這一個

但是有例外 而ieprot.dll是瑞星卡卡助手的，這個是正常的，

還有這個如果安裝了Comodo的話Appinit_dll也會有個C:\Windows\system32\guard32.dll同樣也是正常的項目，

其他的一般加載都是病毒

7. Services

Services 中文含義是 服務(wù)，操作系統(tǒng)（os）要正常的運行，就少不了一些服務(wù)，一些木馬通過加載服務(wù)來達到隨系統(tǒng)啟動的目的， 所有服務(wù)在注冊表中都有相對應(yīng)的位置,這些位置有如下幾個

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

現(xiàn)在的病毒越來越狡猾了，了解常見的服務(wù)項，檢查可疑服務(wù)項，對于查殺病毒有一定的幫助 。

8.文件關(guān)聯(lián)

可能被病毒修改用于啟動病毒的 .比較常見的是.exe關(guān)聯(lián)方式被破壞 ，其他的也有可能被病毒利用.對應(yīng)的注冊表項主要有一下幾項：

HKEY_CLASSES_Root\.exe

HKEY_CLASSES_Root\.com

HKEY_CLASSES_Root\.bat

HKEY_CLASSES_Root\.VBS

HKEY_CLASSES_Root\.JS

HKEY_CLASSES_Root\.JSE

HKEY_CLASSES_Root\.WSF

HKEY_CLASSES_Root\.WSH

HKEY_CLASSES_Root\.Pif

HKEY_CLASSES_Root\.INk

HKEY_CLASSES_Root\.scr

HKEY_CLASSES_Root\.txt

HKEY_CLASSES_Root\.ini

有許多優(yōu)秀工具比如HijackThis,SREng,IceSword,autoruns，wsyscheck?？梢宰鳛檩o助查殺的工具，這些工具需要對系統(tǒng)有一定的熟悉程度,熟悉注冊表，不建議入門者使用.

對于廣大的網(wǎng)民，平時養(yǎng)成一個良好的習慣，了解病毒常采用的伎倆，對于預防和防治病毒工作非常的有幫助，對于病毒的防治采用預防為主，防治結(jié)合的原則，加強日常的管理和維護，非常的關(guān)鍵。