病毒存在的方式无非两种exe文件和dll文件,其它形式都是衍生出来的,jpg病毒也只是藏身于jpg中的exe文件。exe方式是最常见的病毒,这种病毒有两加载的方式,小病毒通常在HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion
/Run 添加键值以达到自己随系统启动的功能(这种病毒以进程形式存在,在任务管理其中可以看到),所以查杀这类病毒的最好办法就是顺藤摸瓜,通过注册表中的键值找到其地址,然后删除它及注册表键值,所以,可以启动时按f8进入安全模式(安全模式之家在系统的必需文件,任何病毒也不可能在安全模式中被加载,除非他完全更改了系统文件,但又会被win xp的自我保护机制所发现然后自我恢复导致更改失败,其实相当于没改),进安全模式后,在菜单里选运行,输入msconfig,选启动一项,有所有的开机加载项,如果病毒是这的话,那么列表里一定有这项后面有病毒在磁盘中的路径,顺着它把病毒删掉即可,然后再把前面的勾去掉,或者直接regedit,去注册表相应位置把它删掉(推荐),用超级兔子的管理开机启动项用处和这个一样,都是对付这种病毒的最好办法。
另一种加载方式是通过服务形式加载,这种方式我还没学会,因为他需要把进程注册为服务,需要一定的编程知识,所以我不会制作这种病毒,但杀还是没问题的,这种病毒存在于服务中,在任务管理器中不显示,在开机加载项里也没有,所以隐蔽性较好,但是杀的方法却比较简单,进入控制面板,管理工具,服务里面可以看到这个服务,一般来说系统的服务都有很多说明,空着的基本是病毒,双击他,有exe文件的具体路径,选停止,再禁用,病毒就不被加载了,然后顺着路径把它干掉,这样就基本阻止了病毒,但是那个服务在注册表里还有,这看着很不爽(虽然他已经不能运行),记住那个服务的名字,运行regedit,搜索那个服务的名字,搜到的一律格杀勿论,那个服务就没了,服务型的病毒也就被杀掉了。
dll病毒也分为两种,其一直接替换系统的dll文件,有称“静态dll病毒”这样当系统进程,比如explorer.exe调用dll中的函数时,就有可能调用了病毒准备的函数,完成病毒的作用,这样的病毒今天已经毫无价值,因为微软已经为xp加入了数字签名技术和文件恢复功能,使winxp具有了相当的自我保护机制,这已经使静态dll病毒无从下手,不过为了以前版的win用户还是说一下吧,首先打开process explorer,可以看每个进程调用的dll,固然,察看大量的dll很痛苦,但没办法,也只好这样,看看每个系统进程调用的dll的修改日期,版本等属性(特别要多注意system32目录下的!),我们可以发现病毒的蛛丝马迹,但最好也别立即删掉——没准是你新装的软件的,我们可以先把它扔到另一个文件夹,如果系统正常,那就非常有可能是病毒,如果有问题,那还是放回去吧,实在怀疑是病毒的dll可以和正常电脑的对比一下,或者直接拷来别人的dll文件。
另一种dll病毒又称为动态嵌入式dll病毒,所谓动态嵌入,就是将自己钩入其他进程中,这样任务管理器中只有被感染进程,而没有这个dll,如果这是木马,那就更危险了,如果它访问网络发送你的密码等东西时防火墙也不会阻拦——因为防火墙只看到系统进程上网!这种病毒偏爱钩在explorer.exe,svchost.exe,smss.exe等无法结束的系统进程上,隐蔽度已经相当高,基本很难查出来,如果感觉自己好像中病毒了又找不可疑的exe或者服务那就应该关注一下系统的dll了,查找的方法和静态dll病毒基本类似,用process explorer查看几个系统进程调用的dll文件,特别留意那种公司名称不是Microsoft的(其实也没几个),然后看他们的创建时间等信息以达到识别的目的,虽然很累,但确实没什么好办法了,发现异常dll以后,还不要急着删,把它扔到别的地方,系统长时间没异常就其本确认那个dll文件有问题了,把它发给杀毒公司让他们鉴定下,如果系统除了莫名其妙的问题那不是病毒,要赶紧放回去才是。
/Run 添加键值以达到自己随系统启动的功能(这种病毒以进程形式存在,在任务管理其中可以看到),所以查杀这类病毒的最好办法就是顺藤摸瓜,通过注册表中的键值找到其地址,然后删除它及注册表键值,所以,可以启动时按f8进入安全模式(安全模式之家在系统的必需文件,任何病毒也不可能在安全模式中被加载,除非他完全更改了系统文件,但又会被win xp的自我保护机制所发现然后自我恢复导致更改失败,其实相当于没改),进安全模式后,在菜单里选运行,输入msconfig,选启动一项,有所有的开机加载项,如果病毒是这的话,那么列表里一定有这项后面有病毒在磁盘中的路径,顺着它把病毒删掉即可,然后再把前面的勾去掉,或者直接regedit,去注册表相应位置把它删掉(推荐),用超级兔子的管理开机启动项用处和这个一样,都是对付这种病毒的最好办法。
另一种加载方式是通过服务形式加载,这种方式我还没学会,因为他需要把进程注册为服务,需要一定的编程知识,所以我不会制作这种病毒,但杀还是没问题的,这种病毒存在于服务中,在任务管理器中不显示,在开机加载项里也没有,所以隐蔽性较好,但是杀的方法却比较简单,进入控制面板,管理工具,服务里面可以看到这个服务,一般来说系统的服务都有很多说明,空着的基本是病毒,双击他,有exe文件的具体路径,选停止,再禁用,病毒就不被加载了,然后顺着路径把它干掉,这样就基本阻止了病毒,但是那个服务在注册表里还有,这看着很不爽(虽然他已经不能运行),记住那个服务的名字,运行regedit,搜索那个服务的名字,搜到的一律格杀勿论,那个服务就没了,服务型的病毒也就被杀掉了。
dll病毒也分为两种,其一直接替换系统的dll文件,有称“静态dll病毒”这样当系统进程,比如explorer.exe调用dll中的函数时,就有可能调用了病毒准备的函数,完成病毒的作用,这样的病毒今天已经毫无价值,因为微软已经为xp加入了数字签名技术和文件恢复功能,使winxp具有了相当的自我保护机制,这已经使静态dll病毒无从下手,不过为了以前版的win用户还是说一下吧,首先打开process explorer,可以看每个进程调用的dll,固然,察看大量的dll很痛苦,但没办法,也只好这样,看看每个系统进程调用的dll的修改日期,版本等属性(特别要多注意system32目录下的!),我们可以发现病毒的蛛丝马迹,但最好也别立即删掉——没准是你新装的软件的,我们可以先把它扔到另一个文件夹,如果系统正常,那就非常有可能是病毒,如果有问题,那还是放回去吧,实在怀疑是病毒的dll可以和正常电脑的对比一下,或者直接拷来别人的dll文件。
另一种dll病毒又称为动态嵌入式dll病毒,所谓动态嵌入,就是将自己钩入其他进程中,这样任务管理器中只有被感染进程,而没有这个dll,如果这是木马,那就更危险了,如果它访问网络发送你的密码等东西时防火墙也不会阻拦——因为防火墙只看到系统进程上网!这种病毒偏爱钩在explorer.exe,svchost.exe,smss.exe等无法结束的系统进程上,隐蔽度已经相当高,基本很难查出来,如果感觉自己好像中病毒了又找不可疑的exe或者服务那就应该关注一下系统的dll了,查找的方法和静态dll病毒基本类似,用process explorer查看几个系统进程调用的dll文件,特别留意那种公司名称不是Microsoft的(其实也没几个),然后看他们的创建时间等信息以达到识别的目的,虽然很累,但确实没什么好办法了,发现异常dll以后,还不要急着删,把它扔到别的地方,系统长时间没异常就其本确认那个dll文件有问题了,把它发给杀毒公司让他们鉴定下,如果系统除了莫名其妙的问题那不是病毒,要赶紧放回去才是。