殺毒軟件能都查殺已知的病毒，但是對(duì)于未知的病毒有點(diǎn)無能為例，具有一定的滯后性。雖然殺軟不斷的改進(jìn)和增強(qiáng)對(duì)注冊(cè)表的監(jiān)控和hips技術(shù)，通過了解常見病毒的常采用的伎倆對(duì)于大家手動(dòng)查殺病毒非常的有幫助。下面重點(diǎn)介紹病毒常見的破壞形式。

1.自啟動(dòng)

木馬病毒為了達(dá)到不可告人的目的，經(jīng)常會(huì)采用隨著windows操作系統(tǒng)系統(tǒng)而自動(dòng)加載病毒程序，常見的在注冊(cè)表中的自啟動(dòng)位置:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Notify，

此外還有 開始啟動(dòng)菜單：X:\Documents and Settings\用戶名\「開始」菜單\程序\啟動(dòng) (X為系統(tǒng)盤所在位置)對(duì)應(yīng)的注冊(cè)表鍵值：HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders

病毒都利用這些暗地里隱藏有些進(jìn)程甚至直接提升為系統(tǒng)程序。

2. 系統(tǒng)還原

系統(tǒng)還原技術(shù)為恢復(fù)以前的系統(tǒng)數(shù)據(jù)提供了便利，同時(shí)也成了病毒的溫床，備份系統(tǒng)文件的同時(shí)，收到感染的文件也有可能被作為備份文件存儲(chǔ)起來，破壞系統(tǒng)還原點(diǎn)對(duì)于這類是一個(gè)非常有效的途徑。病毒位于X:\SYSTEM VOLUME INFORMATION路徑下（X代表驅(qū)動(dòng)器盤符）通過禁用系統(tǒng)還原功能，右鍵"我的電腦"—>屬性—>系統(tǒng)還原—>"在所有驅(qū)動(dòng)器上關(guān)閉系統(tǒng)還原" 打勾。

3. 映像劫持

全稱Image FileExecution Options簡稱IFEO

常見的主要癥狀有

a、殺毒軟件的監(jiān)控?zé)o法開啟；

b、殺毒軟件點(diǎn)擊升級(jí)沒有反應(yīng)；；

c、殺毒軟件無法安裝；

d、殺毒軟件無法運(yùn)行；

e、多種安全輔助工具無法正常運(yùn)行

對(duì)應(yīng)的注冊(cè)表項(xiàng)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

通過導(dǎo)入相對(duì)應(yīng)的注冊(cè)表項(xiàng)，或者通過光盤修復(fù)可以實(shí)現(xiàn)。

4. 破壞安全模式和隱藏文件

安全模式提供了一個(gè)相對(duì)封閉的環(huán)境，對(duì)于查殺病毒比較的徹底，使得病毒或者木馬缺少了依附的土壤，在該環(huán)境下通過殺軟可以絞殺病毒。

病毒、木馬為了達(dá)到目的，采用隱藏的方式，病毒運(yùn)行時(shí)修改注冊(cè)表，會(huì)將自身注入到系統(tǒng)正常的進(jìn)程中。

病毒為了逃避查殺，經(jīng)常采用該方法 。

5. ShellExecuteHook

ShellExecuteHook中文含義是執(zhí)行掛鉤，其本身是操作系統(tǒng)的一個(gè)正常的功能，它采用掛鉤系統(tǒng)的Explorer的ShellExecute函數(shù)，這項(xiàng)功能現(xiàn)在被越來越多的病毒、木馬所采用，實(shí)現(xiàn)隨系統(tǒng)啟動(dòng)。

6. AppInit_Dlls

AppInit_Dlls是一種系統(tǒng)全局性的Hook（system-widehook），AppInit_Dlls的鍵值是一個(gè)非常危險(xiǎn)的鍵值，AppInit_Dlls鍵值位于注冊(cè)表 HKLM\Microsoft \WindowsNT\CurrentVersion\Windows下面，相對(duì)于其他的注冊(cè)表啟動(dòng)項(xiàng)來說，這個(gè)鍵值的特殊之處在于任何使用到 User32.dll的EXE、DLL、OCX等類型的PE文件都會(huì)讀取這個(gè)地方，并且根據(jù)約定的規(guī)范將這個(gè)鍵值下指向的DLL文件進(jìn)行加載，加載的方式是調(diào)用LoadLibrary。使用了User32.DLL，都會(huì)對(duì)AppInit_Dlls鍵值指向的DLL進(jìn)行加 載。這個(gè)是日志的一部分

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]

<> [N/A]默認(rèn)是這一個(gè)

但是有例外 而ieprot.dll是瑞星卡卡助手的，這個(gè)是正常的，

還有這個(gè)如果安裝了Comodo的話Appinit_dll也會(huì)有個(gè)C:\Windows\system32\guard32.dll同樣也是正常的項(xiàng)目，

其他的一般加載都是病毒

7. Services

Services 中文含義是 服務(wù)，操作系統(tǒng)（os）要正常的運(yùn)行，就少不了一些服務(wù)，一些木馬通過加載服務(wù)來達(dá)到隨系統(tǒng)啟動(dòng)的目的， 所有服務(wù)在注冊(cè)表中都有相對(duì)應(yīng)的位置,這些位置有如下幾個(gè)

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

現(xiàn)在的病毒越來越狡猾了，了解常見的服務(wù)項(xiàng)，檢查可疑服務(wù)項(xiàng)，對(duì)于查殺病毒有一定的幫助 。

8.文件關(guān)聯(lián)

可能被病毒修改用于啟動(dòng)病毒的 .比較常見的是.exe關(guān)聯(lián)方式被破壞 ，其他的也有可能被病毒利用.對(duì)應(yīng)的注冊(cè)表項(xiàng)主要有一下幾項(xiàng)：

HKEY_CLASSES_Root\.exe

HKEY_CLASSES_Root\.com

HKEY_CLASSES_Root\.bat

HKEY_CLASSES_Root\.VBS

HKEY_CLASSES_Root\.JS

HKEY_CLASSES_Root\.JSE

HKEY_CLASSES_Root\.WSF

HKEY_CLASSES_Root\.WSH

HKEY_CLASSES_Root\.Pif

HKEY_CLASSES_Root\.INk

HKEY_CLASSES_Root\.scr

HKEY_CLASSES_Root\.txt

HKEY_CLASSES_Root\.ini

有許多優(yōu)秀工具比如HijackThis,SREng,IceSword,autoruns，wsyscheck。可以作為輔助查殺的工具，這些工具需要對(duì)系統(tǒng)有一定的熟悉程度,熟悉注冊(cè)表，不建議入門者使用.

對(duì)于廣大的網(wǎng)民，平時(shí)養(yǎng)成一個(gè)良好的習(xí)慣，了解病毒常采用的伎倆，對(duì)于預(yù)防和防治病毒工作非常的有幫助，對(duì)于病毒的防治采用預(yù)防為主，防治結(jié)合的原則，加強(qiáng)日常的管理和維護(hù)，非常的關(guān)鍵。