Professional Documents
Culture Documents
有我整理的一些进程、服务等等,需要经验来说明的东西,目的都是为了新手和想学习的人,希望这些经
验 可以 帮助 大家 ,可 以在 论坛 里 面 和 我 交 流 也 可 以 发 邮 件 。 总 之 谢 谢 大 家 。
此文章所有软件都已配合了使用方法,请大家注意,写完所有使用方法后,我将重新整理细化此文章:
SREng ( System Repair Engineer ) 的 使 用 方 法 : http://blog.sina.com.cn/u/56b232db010007my
冰 刃 ( IceSword ) 的 使 用 方 法 ( 基 础 篇 ) : http://blog.sina.com.cn/u/56b232db010007xt
冰 刃 ( IceSword ) 的 使 用 方 法 ( 高 级 篇 ) : http://blog.sina.com.cn/u/56b232db01000841
注 : 高 级 篇 刚 刚 开 始 写 , 请 耐 心 等 待 。
我 的 blog 地 址 : http://blog.sina.com.cn/ufovirus
文 章 在 卡 卡 中 的 对 应 位 置 :
SREng ( System Repair Engineer ) 的 使 用 方 法 : http://forum.ikaka.com/topic.asp?board=28&artid=8270267
冰 刃 ( IceSword ) 的 使 用 方 法 ( 基 础 篇 ) : http://forum.ikaka.com/topic.asp?board=28&artid=8283980
在对新手说一句,不管什么病毒,请先贴日志,让大家了解你计算机后,才能对症下药。解决你的问题
手 工 检 测 未 知 病 毒
作 者 : UFO& 不 幸 外 人 ( 转 载 请 注 明 )
近期,可能是因为春节的来临,也可能是因为病毒作者耐不住寂寞,纷纷发表新的病毒,年底的“熊猫烧
香”,去年的“威金”等等大型蠕虫病毒,给我带来的很多麻烦,我们应该如何对付这些病毒呢?我们要
增强我们自己的防病毒意识。虽然现在杀毒软件做的非常不错,但对某些病毒的更新速度还需要改善,这
就 需 要 我 们 来 自 己 动 手 检 测 未 知 病 毒 。
说到检测未知病毒,对于新手来说,可能很困难,经过这个文章可以让你完整了解病毒的检测和删除过程 ,
加上自己努力学习和实践,就可以实现自己手工杀毒。好了废话就说这么多,我们来看看如何检测未知病
毒 。
第 一 , 全 面 检 测 计 算 机 。
对于新手,手动全面检测计算机是非常困难的,因为需要打开注册表,一项一项去检查,那我们就使用简
单 的 方 法 — — 运 用 SRE 这 个 软 件 , SRE 全 名 System Repair Engineer , 下 载 地 址 :
http://www4.skycn.com/soft/23312.html。打开软件后,点击软件左边的智能扫描,再点击“扫描”,就可以
对 计 算 机 进 行 较 为 全 面 的 扫 描 了 。
对 于 不 想 自 己 分 析 的 新 手 , 请 把 日 志 贴 到 论 坛 上 , 会 有 人 帮 你 解 决 。
第 二 , 分 析 扫 描 日 志
这个是最关键的一步,对于很多新手,选择来论坛发布日志,让有经验的高手来分析,这样省时省力,但
是如果大家学会分析日志,那么就可以有更多的人帮助新来的人,减少版主和论坛高人的劳动。分析日志
学习起来很难,因为需要不断积累经验,在这里只介绍简单的方法(若有更好的方法,希望论坛或者邮件
进 行 讨 论 ) 。
1 、 了 解 日 志
SRE 日志分别扫描了注册表启动项、启动文件夹、服务、驱动、浏览器加载项、进程、文件关联、Winsock 提供
者 、 autorun.inf 、 HOSTS 文 件 、 API HOOK 。 我 会 重 点 介 绍 一 些 检 测 时 常 用 的 项 目
2 、 看 进 程
看进程,看什么呢?看的就是,是否有除系统基本进程和软件产生进程外的其他进程,尤其注意进程路径
是 c:\windows\和 C:\windows\system32\下的文件,可能有些新手不知道那些是系统基本进程,那些是软件
安装的进程,这就是需要经验积累的地方, 为了方便新手了解进程,我做了一个表一 。
对于系统进程加载的 DLL,这个需要具体分析,很多盗号木马运用了这个方式,那就要经过下面三步去
完 善 。
3 、 看 启 动 项 ( 包 括 注 册 表 启 动 项 、 启 动 文 件 夹 、 服 务 、 驱 动 )
看了进程以后,对那些是可疑文件有了一定了解后,就可以来看启动项目。 SRE 这个日志非常适合新手使
用,因为它已经在服务和驱动这两个地方把微软签名的启动项隐藏,对于服务,驱动需要经验才能动,下
面我一项一项的介绍。
注 册 表 启 动 项
在 SRE 里面,这册表启动项包括了 Winlogon 启动,普通注册表启动等等多个项目。这个只能看下我在虚拟
机下面刚安装一版 SP2 的 Windows XP 的日志了,当然因为每一种系统(盗版方式不同或者正版等等)不
同 , 可 能 扫 描 出 来 的 不 仅 相 同 , 剩 下 的 需 要 大 家 经 验 积 累 。
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<ctfmon.exe><C:\WINDOWS\system32\ctfmon.exe> [(Verified)Microsoft Corporation] ( 启 动 输 入 法 )
超 级 兔 子 、 MSN Messenger 等 通 过 此 项 目 启 动
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<load><> [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<IMJPMIG8.1><"C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32>
[(Verified)Microsoft Corporation] ( 微 软 输 入 法 启 动 项 )
<PHIME2002ASync><C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC>
[(Verified)Microsoft Corporation] ( 微 软 输 入 法 启 动 项 )
<PHIME2002A><C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName> [(Verified)Microsoft
Corporation] ( 微 软 输 入 法 启 动 项 )
暴风影音、NVIDIA 显卡、声卡、超级解霸、瑞星杀毒软件、瑞星个人防火墙、卡卡上网助手、金山毒霸、江民杀
毒 软 件 、 Emule 、 金 山 词 霸 、 Nero 、 Real 系 列 、 酷 狗 等 通 过 此 项 目 启 动
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<shell><Explorer.exe> [(Verified)Microsoft Corporation]
<Userinit><C:\WINDOWS\system32\userinit.exe,> [(Verified)Microsoft Corporation] (Winlogon 启动项,逗号
后 面 若 有 东 西 90% 是 病 毒 )
<UIHost><logonui.exe> [(Verified)Microsoft Corporation]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><> [N/A] ( 初 始 化 动 态 链 接 库 , 若 这 里 面 有 东 西 90% 是 病 毒 )
以 上 只 进 行 了 概 述 , 具 体 请 看 下 面 回 复 的 表 二
启 动 文 件 夹
这个最好看,只有部分软件修改这里,典型的比如 QQ 的启动项、OFFICE 的工具栏启动项。这个利用的病
毒也很少,早期的“比肩社区”(在桌面呈现比肩社区介绍)就利用。需要耐心检查。
服 务
这个比较好看,第一看服务名称后面的状态, SRE 日志扫描后的格式为(最新版本) [服务名称][当前运行
状态 / 启动状态 ] ,其中当前运行状态是表示扫描的时候计算机是否运行了此服务, Running 表示运行、
Stopped 表示没有运行;启动状态,表示此服务是如何启动, Auto Start 表示自动,Disabled 表示已禁用,
Manual Start 表示手动启动。其中重点看 Running 和 Auto Start 的项目,如果此项目和你安装的软件和驱动
程序无关,那就可能是病毒。
4 、 对 比
对比所有可疑启动项目和所有可疑进程,是否可以一一对应,如果不可以,那么就要看是哪里出现的问题 ,
就对那里进行进一步的研究。看看是否是因为病毒的运行方式或者保护方式问题,或者有其他病毒的存在。
当 然 , 原 因 不 只 这 一 些 , 还 是 需 要 大 家 积 累 经 验 。 实 践 是 根 本 。
5 、 看 其 余 项 目
第一个要看的就是 autorun.inf 这个项目,如果某个盘有此文件,或者每个盘都有,那么就说明你的计算机
中了病毒,处理方法很多,这里介绍几种。当然处理的时候,要保证系统中没有病毒运行了。
第一种:利用 WinRAR。具体方法:打开所感染的硬盘,删除对应文件。说明不会感染计算机,方便实用。
第二种:利用资源管理器。具体方法:在打开显示隐藏文件和系统文件的前提下,利用资源管理器,在资
源管理器左面选择感染的盘符,右面删除对应文件。说明对于某些病毒又感染的危险。
第 三 种 : 利 用 命 令 提 示 符 。 具 体 方 法 利 用 了 DOS 命 令 , 具 体 命 令 如 下 :
Attrib –s –h –r –a X:\autorun.inf
Attrib –s –h –r –a X:\ 对 应 启 动 文 件 ( EXE 或 者 PIF )
Del X:\autorun.inf
Del X:\ 对 应 启 动 文 件 ( EXE 或 者 PIF )
其 中 X 代 表 感 染 的 盘 符 。
说 明 可 以 删 除 彻 底 , 需 要 懂 一 些 DOS 命 令 和 CMD 的 使 用 方 法 。
第四种:利用冰刃。具体方法打开冰刃后,点击下面的文件,后面的处理如同资源管理器。说明删除彻底,
建 议 新 手 使 用 。
第 三 , 处 理 所 有 可 疑 文 件 ( 清 除 病 毒 文 件 )
当然也有一点冰刃不是全能的,现在有病毒以进程来结束冰刃,以后会怎么样,《黑客防线》曾经有一篇文
章 就 是 专 门 介 绍 冰 刃 的 漏 洞 , 利 用 这 个 漏 洞 , 病 毒 可 以 结 束 掉 冰 刃 。
废话就说以上这么多,看看具体处理方法吧。冰刃在杀毒的时候需要做一个预处理,点击上方文件下的设
置 , 选 中 禁 止 线 程 创 建 。 然 后 就 可 以 做 下 面 的 处 理 了
删 除 方 法 :
第一种情况,有确实的 EXE 进程。打开冰刃后,点击进程,结束此可疑进程,这样此进程不会创建,按照
上面对比后的结果,如果是注册表中的,在冰刃下面可以看到注册表,直接进行修改,注意一点就是
<AppInit_DLLs><>项目需要双击打开编辑框清空,其它的直接找到对应键值删除即可;如果是服务启动 ,
在冰刃下进入服务,找到启动服务,点右键,改为已禁用即可;如果是驱动启动,可以打开注册表进入
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 找到对应的删除即可,也可以使用 SRE 进
行 删 除 。 最 后 运 用 冰 刃 强 制 删 除 文 件 后 杀 毒 结 束 。
第三种情况,也是最难处理的一种情况,现象就是杀毒软件报告病毒,但是无法从日志中找到任何病毒踪
迹,这里要先启动冰刃,在进程、内核程序、启动组和服务中进行一次彻底查找(后面对次问题有解释),
如果还是没有,就属于这种情况。此情况删除及其复杂。可以用冰刃强制删除对应文件(若杀毒软件以成功
删除就不用做这一步),并且打开我的电脑,找到对应位置,建立一个同名的文件夹(包括扩展名),这
样病毒将不会再产生,然后运用 Filemon 这个文件监控软件,进行监控,在监控过程中,逐一运行软件,
看看那个软件要创建前面用冰刃或者杀毒软件删除的文件,找到后,删除此软件里面的所有文件重新安装 ,
即可。
第 四 , 清 除 后 遗 症
病 毒 后 遗 症 , 论 坛 上 经 常 会 有 此 类 帖 子 出 现 , 我 一 项 一 项 分 别 来 说 。
1 、 EXE 文 件 不 能 正 常 运 行
有 的 时 候 病 毒 删 除 了 , EXE 文 件 还 无 法 运 行 , 那 怎 么 办 呢 , 介 绍 几 种 方 法
第一种方法:最简单的方法,打开我的电脑,选择工具——文件夹选项——文件类型,点击新建,文件扩
展 名 输 入 .exe ( 注 意 小 数 点 ) , 然 后 点 击 高 级 , 选 择 应 用 程 序 就 可 以 了 。
第 二 种 方 法 : 利 用 修 复 软 件 , 如 我 们 上 面 提 到 的 SRE 、 超 级 兔 子 等 等 。
第三种方法:直接修改注册表。打开冰刃,进入注册表。找到 HKEY_CLASSES_ROOT\.exe 查看其下面的
( 默 认 ) 是 不 是 为 exefile , 不 是 则 修 改 为 exefile 。 然 后 , 打 开
HKEY_CLASSES_ROOT\exefile\shell\open\command 检 查 ( 默 认 ) 是 否 为 "%1" %* , 不 是 则 修 改 。
第五种方法:可以说这种方法比较万能,就是用命令提示符,但是因为测试过程中有问题,现在无法给出
具 体 方 法 。
2 、 无 法 显 示 隐 藏 文 件
这 个 也 是 常 见 的 病 毒 后 遗 症 。 和 上 面 一 样 , 同 样 介 绍 一 些 方 法 。
第二种方法:可以说这种方法比较万能,就是用命令提示符,但是因为测试过程中有问题,现在无法给出
具 体 方 法 。
3 、 对 开 机 无 法 找 到 文 件 提 示 的 处 理
这个是一般用杀毒软件杀毒后出现的后遗症,按照第二里面的检查启动项查看是那个启动项出了问题,就
可 以 了 。
对于以上部分命令提示符的方法,我会尽快测试找到一个较万能的解决方法。
以上只叙述了一般的检测清除未知病毒的方法,但是此方法并不对任何病毒使用,每一位高手都会有自己
特殊的方法对付顽固的病毒,我在这里献丑了,把我对付顽固病毒的经验写一写。对付病毒还要对症下药 ,
所以我从两个方面写,就是病毒运行和病毒保护,了解这两个方面,才能对症下药,对每一种病毒进行删
除 。
第 五 , 介 绍 病 毒 运 行 方 法 及 其 对 策
1 、 EXE 文 件 运 行
这个是早期的,也是最简单的病毒运行方法,就是在启动项里面加入一个 EXE 文件运行的项目,从而达
到 病 毒 文 件 运 行 的 目 的 , 比 如 : 密 西 木 马 在 注 册 表 启 动 项 里 面 加 入 这 么 项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ToP:
"C:\WINDOWS\LSASS.exe",达到运行 C:\WINDOWS\LSASS.exe 文件的目的,这样的运行方式在任务管
理 器 中 可 以 看 见 进 程 ( 病 毒 自 身 做 了 保 护 的 除 外 ) 。
至于这样的病毒清除起来非常简单,按照上面说的第一种情况就可以了——结束进程,删除启动项,删除
文 件 。
2 、 DLL 嵌 入 ( 直 接 嵌 入 )
DLL 嵌入分为两种,我们先说直接嵌入,大家都知道 DLL 文件是动态链接库,这类文件必须经过
c:\windows\system32\rundll32.exe 解释后才可以运行。在进程中只显示一个 rundll32.exe 的进程,这样直接在
注册表启动项目里面添加一个键值为“ c:\windows\system32\rundll32.exe 病毒 DLL 位置”的项就可以运行
了 。 因 为 这 种 运 行 方 式 可 以 发 现 病 毒 进 程 , 所 以 就 有 了 嵌 入 Explorer.exe 的 , 在
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run 中 建 立 ,
就可以隐藏在 Explorer.exe 里面启动。当然除了这几种方式,还有好多种可以嵌入系统 EXE 文件的方式,
这 样 就 加 大 了 我 们 的 检 查 难 度 。
对于这样的病毒,我们一般可以看 SRE 日志中的 DLL 加载项目,注意 c:\windows\和 c:\windows\system32\
两个文件夹的文件,经过经验积累来判断是否是病毒。我的经验有几点,第一,按启动项判断,很多加载
DLL 的启动项比较独特,而且按照上面的叙述有明显的特征;第二,若一个 DLL 文件被多个进程启动,
50%是病毒(这个概率较低,我原来犯错误就是认为这个概率应该很高);第三,看文件数字签名,SRE
后面附带了数字签名,若签名为 N/A,50%是病毒,有特殊的软件(一般为小软件或者个人开发的)不带
签名。这类病毒删除起来也相对容易,直接用冰刃强制删除 DLL 文件,并且删除对应的启动项目就可以了
3 、 DLL 嵌 入 ( 间 接 嵌 入 )
第 六 , 介 绍 某 些 病 毒 的 保 护 方 法 及 其 对 策
1 、 隐 藏 文 件
这个最简单的一种,对于初级菜鸟特别有用,理论我不说大家也应该知道。只不过论坛有些人喊找不到文
件的时候,我还以为预见了自身保护型病毒,结果就是此原因,让我郁闷半天。
解 决 方 法 :
打开我的电脑,点击工具——文件夹选项——查看,选择显示所有文件和文件夹,而且要去除“隐藏受保
护的操作系统文件(推荐)”项目前面的对勾,如果无用,请看病毒后遗症,里面有具体解决方法。
2 、 EXE 文 件 关 联
典 型 病 毒 : 密 西 木 马 ( 落 雪 、 Trojan.PSW.Misc.* )
具体现象:清除病毒后,点击任何 EXE 文件,一定是任何,不是单一的病毒都会死灰复燃,且注册表项
HKEY_CLASSES_ROOT\exefile\shell\open\command 和 HKEY_CLASSES_ROOT\.exe 被修改(具体默认值
参 看 清 除 病 毒 后 遗 症 ) 。
解 决 方 法 : 参 看 清 除 病 毒 后 遗 症
说明:此种保护方法比较厉害,但是很容易被发现,要和下面的第 4 项区分开来,现象差不多,但是处理
方 法 不 一 样
3 、 autorun.inf 保 护
典 型 病 毒 : 熊 猫 烧 香 ( Worm.Nimaya.* ) 、 U 盘 破 坏 者 ( Worm.vb.hy ) 等 等
具体现象:在分区根目录或者移动硬盘、MP3、U 盘根目录产生 autorun.inf 和一个病毒文件,达到传播病毒
和 保 护 病 毒 的 作 用 。
解 决 方 法 : 参 看 第 二 中 的 第 五 项
说明:一种常见的保护方法,应用也非常普遍,也有一种防护措施,参看第七的第一项。这种保护防止一
些 菜 鸟 重 新 安 装 系 统 来 清 除 病 毒 , 若 重新安装系统后又运行带有此文件的分区,病毒会立马出现
4 、 文 件 保 护
典 型 病 毒 : 威 金 ( Worm.Viking.* ) 、 熊 猫 烧 香 ( Worm.Nimaya.* ) 、 过 去 的 劳 拉 、 CIH
具体想象:某一类文件被修改,在文件头或者文件的尾部加上病毒代码,以便日后运行此文件的时候释放
病毒,达到病毒传播和保护的目的,而且一般被修改的文件图标也会被修改。
解决办法:少量文件高手可以自行解决,对于新手来说可以利用专杀、杀毒软件等清除代码
说明:最棘手的保护之一,删除非常困难。最可怕就是大量 EXE 文件被修改,数据丢失而且无法回复。
5 、 IE 浏 览 器 保 护
就 是 利 用 桌 面 上 的 IE 图 标 , 桌 面 上 的 IE 图 标 是 通 过 注 册 表 的
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\iexplore.exe\shell\open\command\的(默认)项
来 控 制 的 , 这 里 面 的 键 值 , 就 是 双 击 桌 面 IE 的 连 接 。
解 决 方 法 :
第 一 种 方 法 : 打 开 注 册 表 编 辑 器 ( c:\windows\regedit.exe ) , 直 接 找 到
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\iexplore.exe\shell\open\command\项目,修改默
认 为 "C:\Program Files\Internet Explorer\iexplore.exe" %1 即 可 。
第 二 种 方 法 : 编 辑 记 事 本 文 件 , 导 入 注 册 表 即 可 , 内 容 如 下 :
REGEDIT4
( 空 一 行 )
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\iexplore.exe\shell\open\command]
@=” "C:\Program Files\Internet Explorer\iexplore.exe" %1”
6 、 应 用 软 件 保 护
这个最开始是被 QQ 盗号程序利用,病毒修改 QQ 安装文件夹里面的一个文件,让 QQ 启动后会自动检查
病 毒 是 否 存 在 , 如 果 不 存 在 就 会 恢 复 , 比 如 Trojan.Clicker.Agent.* 的 部 分 变 种 就 有 这 个 特 性 。
解 决 方 法 : 参 看 第 三 项 里 面 的 第 三 种 情 况
7 、 自 身 保 护 自 身
这个是最难处理的一种,有少量病毒,如 Trojan.Agent.bfm、Trojan.EliteBar.*就是这一种,如果病毒进程在
运行,那么此病毒的文件、注册表添加项、进程等明显部分都被隐藏了,利用多种软件无法查看(Windows
基 本 软 件 、 SRE 、 HJ 、 瑞 星 听 诊 器 等 ) , 我 用 的 软 件 只 有 冰 刃 可 以 看 到 这 些 进 程 等 内 容 。
处理方法:利用冰刃,查看启动组、进程、服务是否有可疑项目,尤其是进程,然后按照第一种情况删除。
8 、 多 进 程 木 马
这 个 早 年 就 有 , 一 个 病 毒 进 程 , 一 个 保 护 进 程 , 非 常 简 单 。
9 、 COM 文 件 的 保 护
这种保护不容易发现,主要就是在 windows 文件夹下建立一个与某文件同名的.com 文件。比如:regedit.exe
是注册表编辑器,那么病毒就建立一个 regedit.com,一般人利用 windows 里面的运行功能来执行这个文件,
仅 输 入 regedit , 那 么 就 会 运 行 病 毒 。
处理方法:删除病毒后,删除那个保护文件即可。
第 七 , 简 单 防 护 方 法
本 来 我 无 意 去 写 防 护 , 毕 竟 对 于 防 护 来 说 , 每 一 位 高 手 都 有 自 己 的 防 护 方 法 , 比 如 baohe 选 择 了
SSM、Tiny 等软件,包括杀毒软件,虽然是卡卡论坛,但是也包括了瑞星、金山、江民、卡巴、诺顿等多款杀
毒 软 件 的 用 户 , 所 以 写 防 护 真 的 很 难 。
我使用瑞星杀毒软件,因为它的服务态度是比较好的,防火墙和杀毒功能等方面综合起来是国内最好的
(病毒库另说,我认为防火墙功能江民做的非常出色)。废话就这么多吧,不同人有不同理论,以上只是
我 个 人 意 见 , 不 要 因 为 这 个 吵 起 来 。
1 、 防 护 autorun.inf
在清除 autorun.inf 后,在分区根目录或者 U 盘、移动硬盘、MP3 的根目录建立一个 autorun.inf 的文件夹,属
性 为 只 读 、 隐 藏 , 有 能 力 的 可 以 加 上 系 统 属 性 。
2 、 浏 览 网 页 时 候 的 防 护
浏 览 网 页 时 候 尽 量 在 大 网 站 留 言 , 不 要使用 baidu 、 google 进行搜索,尤其软件、游戏外挂等等。
有 能 力 的 可 以 运 行 虚 拟 机 和 影 子 系 统 , 来 达 到 防 护 的 目 的
3 、 下 载 文 件 的 防 护
下载后的文件,在运行前一定要看图标、文件大小,并用杀毒软件进行查毒。下面介绍一个软件 Universal
Extractor,一款不错的解压缩软件,有些人该问了, WinRAR 不就可以么?我介绍的这款软件可以解 EXE
文 件 , 还 能 脱 一 些 壳 , 一 般 的 安 装 程 序都能解开,看里面的文件是否有异样,也可以辨别病毒。
4 、 注 册 表 防 护
经常备份注册表,保护好关键注册表项,也就是各个注册表启动项,有能力的用户可以运用一些注册表监
视程序。对于新手,瑞星的注册表监控在上网的时候弹出,一定要点拒绝修改,而且要立马手工检查病毒。
5 、 文 件 保 护
尽 量 可 以 进 行 文 件 监 控 , 比 如 SSM 等 。
对于 4、5,我再推荐一款软件 RegShot,这款软件进行前后扫描,然后对比,来反映修改,如果你上网浏
览网页,比如查资料,要经常进入小网站,就可以在浏览前作一次扫描,浏览后作一次扫描,就可以看到
你 浏 览 时 计 算 机 对 注 册 表 和 文 件 的 添 加 、 删 除 、 修 改 。
6、细心观察