[分享]半摘抄半总结的反病毒笔记

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN] Text的值改成@shell32.dll,-30501 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] Type的值改成radio 彻底删除System Volume Information文件夹 一般情况下,每个分区下都会有这么这个文件夹,而且可能无法删除，这个文件夹的作用是保存了系统的还原点。对于不使用或者关闭系统还原者，可以删除。对于NTFS的分区,你需要先取得权限.方法如下: 文件夹选项,查看,使用简单文件共享前面的勾去掉. 右击System Volume Information,属性,安全,高级,所有者,选择你的用户名,替换子容器及对象的所有者前打勾,确定。但是删除不久重新出现，方法：Win+R,输入services.msc,确定.找到名为System Restore Service的服务,双击它,点击停止,再将启动类型改为禁用,确定.然后按上面的方法取得所有权,最后删除即可. thumbs.db文件的删除（这个文件的作用是缓存图片缩略图的） 文件夹选项,查看,不缓存缩略图前打勾,确定,重新搜索,删除这些文件 desktop.ini文件 扩展名为ini的文件基本都是配制文件.一个配制文件的基本结构如下: 复制内容到剪贴板 代码: [字段名] 关键字=值 因此,上面的[DeleteOnCopy]和[.ShellClassInfo]都是字段名,这两个是由系统定义的,不要随便改. Owner是当前文件夹的所有者名 Personalized是个性化私人标识,具体含义我也不明白,微软未完全公开 PersonalizedName是当前文件夹的名字 InfoTip当鼠标指向这个文件夹时出现的提示文字 本文来自：剑盟反病毒技术门户(www.janmeng.com) 原文链接：http://www.janmeng.com/html/xueyuan/200904/23-1448.html 环境变量与命令 内部命令：cd，del，md，rd等 外部命令：每个外部命令都有一个与命令同名的文件,这些文件都可以在path环境变量所设定的目录中找到，我们可以自己设定环境变量。 方法：我的电脑-->属性-->高级-->环境变量-->系统变量(用户变量也是一样的) 找到变量Path,双击,可以看到变量值是由很多文件路径组成的,每个路径是用分号隔开的. 所有在最后面先加个分号,再在后面加上QQ的安装目录,比如我的就加X:\Program Files\Tencent\QQ 确定,再点确定. 如果没有path变量,可以新建一个,然后直接输入QQ的目录.现在在运行中输入qq就可以直接运行了. 系统优先搜索%SystemRoot%\System32目录

msconfig和services.msc修改启动项和服务 系统启动路径： 1.Startup这个位置表示的是当前用户的开始菜单,所有程序,启动这个位置,文件路径为C:\Documents and Settings\你的用户名\「开始」菜单\程序\启动,也就是说你往这个目录放程序,下次及以后一开机就会自动运行这个程序了(只对指定的用户有效). 2.Common Startup,路径为C:\Documents and Settings\All Users\「开始」菜单\程序\启动,这里放的程序对所有用户有效,其他和上面的一样,可以是程序快捷方式等. 3.HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run , HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 是注册表路径 所有服务在注册表中都有相对应的位置,这些位置有如下几个(可能你的没有第三个或还有其他的): HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services DisplayName为服务的显示名称 Description的值为该服务的描述,这些都可以修改 ImagePath的值为可执行文件的路径 Start的值表示服务的启动方式,4表示禁用,3表示手动,2表示自动 ObjectName的值表示服务类型,如本地服务(LocalSystem),网络服务等. 将整个项删除可以完全删除这个服务,不建议这样做 自动运行或启动： 上次讲了自动运行的两个注册表位置及两个文件位置.即 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run C:\Documents and Settings\All Users\「开始」菜单\程序\启动 C:\Documents and Settings\你的用户名\「开始」菜单\程序\启动 这四个是病毒最喜欢的地方,要引起重视. 除此之外还有: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnceEx HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce 与run的区别是,RunOnce只在下机开机时运行一次,以后不再运行,而run则每次开机时都启动,RunOnceEx不创建单独进程,通常以DLL形式加载,即使DLL调用出错,也可设置相应标志而不出现任何出错提示,微软解释:http://support.microsoft.com/kb/232487/en-us/ RunServices加载优先于Run,而RunServicesOnce,顾名思义,只运行一次的. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run 这两个位置常常被忽略,大家注意一下. HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows 这里load的值也要注意下 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon 这两个下面的Notify,Userinit,Shell的值也要注意,这三个的键值可以用逗号分隔多个程序.这里也要特别注意.正常情况下,shell的值为Explorer.exe（windows目录下）,Userinit的值为userinit.exe(完整路径windows\system32) 其他需要注意的地方还有(不多见): HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System\Scripts HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System\Scripts 可能有些项或键在你电脑上并不存在,可以新建的.

二.映像劫持. 原理:NT系统在试图运行一个程序时,先会检查程序是不是可执行文件,如果是的话,再检查格式,然后就会检查是否存在,如果不存在的话,它会提示系统找不到文件或者是"指定的路径不正确"等等. 映像劫持的全称为Image File Execution Options 被病毒利用后症状:杀毒软件,常用系统工具打不开,你运行正常程序,但打开的却是病毒程序 注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 如何劫持ie：先打开注册表并定位到这个位置,新建项,名为iexplore.exe, 在右边新建字符串值,名为Debugger,双击它,将值改为notepad.exe,确定即可。此时双击桌面上的IE图标时将打开记事本. 解决办法是把刚才新建的全部删除. 另一种办法是找到IE的真正路径,将其他重命名后再运行.通常杀毒软件被劫持时,我们采用重命名法。 一般杀毒步骤：进程—注册表—文件 三、自动播放 autorun.inf是windows下操纵光盘等行为的一个文件,需要放在根目录下,部分操作对于硬盘,U盘也适用.比如插入杀毒软件的安装光盘,系统将自动运行它的安装程序,这给我们带来了不少方便,但也给病毒的传播带来了方便. 所谓的U盘病毒就是利用这个文件来传播的病毒,如果你开启了自动播放功能,则当你双击U盘的时候,病毒就运行了.对于硬盘也是一样的.有时病毒清理完毕后,双击硬盘却打不开了,原因是病毒不存在了,而autorun.inf这个文件仍然存在。 中毒后正确的做法有: 1,在我的电脑地址栏中输入路径,如C:\ 2,单击文件夹图标,从左边树型目录打开. 3,从开始菜单启动资源管理器,从左边树型目录打开 4,利用第三方工具,如winRAR,还是用地址栏. 一般情况,中毒后,先按上述方法找到autorun.inf,用记事本打开它,查看其指向的文件是什么,删除autorun.inf和它所指向的文件,一般来说,其指向的文件和autorun.inf一样也在磁盘根目录,但有时并不一定,也可能在系统目录等. 一般建议关闭自动播放功能: 开始,运行,输入gpedit.msc,打开组策略，计算机配制,管理模板,系统 在右边找到期"关闭自动播放",双击它,改为已启用,并选择所有驱动器,确定

了解以下文件： desktop.ini，boot.ini，autorun.inf，win.ini，system.ini，wininit.ini，AUTOEXEC.BAT，CONFIG.SYS 注意： wininit.ini的[rename]字段，HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\FileRenameOperations win.ini中HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows,键名load和run的项。 system.int该文件位于%systemroot%/system.ini.也可以通过msconfig来修改.. 该文件的配制是相关复杂的,这里只讲和病毒有关的字段及关键字. [boot]字段的shell=Explorer.exe 注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon,键名shell,正常值为Explorer.exe,不正常时可能为Explorer.exe,anti.exe [386Enh],[mic],[drivers],[drivers32]等字段的driver=驱动程序文件路径. 与驱动有关的注册表路径如下: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\HardwareProfiles 一个特殊dll文件ws2_32.dll 在软件安装目录下新建一个文本文件,改名为ws2_32.dll,此时将导致该软件无法运行. 解释如下:ws2_32.dll是Windows Sockets应用程序接口,用于支持Internet和网络应用程序.程序运行时会自动调用ws2_32.dll文件,ws2_32.dll是个动态链接库文件位于系统文件夹中.Windows在查找动态链接库文件时会先在应用程序当前目录搜索,如果没有找到会搜索Windows所在目录;如果还是没有会搜索system32和system目录。一些病毒可能会利用此原理在杀毒软件目录中建立名为ws2_32.dll文件或文件夹,在杀毒软件看来这是程序运行需要的文件而调用,而这个文件又不具备系统ws2_32.dll文件的功能,所以杀毒软件等就无法运行了而提示:应用程序或DLL为无效的windows映像,请再检测一遍您的安装盘 一个特殊的程序rundll32.exe

先顶了再看。 【 在 freeflying (Artie) 的大作中提到: 】 : 了解以下文件： : desktop.ini，boot.ini，autorun.inf，win.ini，system.ini，wininit.ini，AUTOEXEC.BAT，CONFIG.SYS : 注意： : ...................

至少启动项和映像劫持还行吧，有用的 即使简单学习和了解的人恐怕也不多啊

顶，好好学学

写的不错，但是如果要了解更多的话好好学学汇编和反编译。