电脑病毒反抗杀毒软件的主要手段

zjr

随着电脑的普及，出现了越来越多的对抗杀毒软件以及检测工具扫描的病毒，他们会关闭甚至删除杀毒软件以及检测工具。一般用户很难判断他们藏在哪里，做了些什么。而这时杀毒软件以及安全工具确普遍无法运行。 下面主要列举说明一些常见抗杀软类病毒的需要注意的检测位置。
一：Run键值
典型病毒：AV终结者变种
目的现象：开机启动双进程坚守、关闭杀毒程序等。
检测位置：
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
补充说明：该位置属于常规启动项，很多程序会写。
二：执行挂钩
典型病毒：大量恶意软件以及病毒均会写入
目的现象：杀毒软件难于清理、关闭杀毒程序等。
检测位置：
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
补充说明：很少有正常程序会写入该位置，病毒几率非常大。典型例外：瑞星反病毒软件
三：Appinit_dlls
典型病毒：机器狗新变种、磁碟机变种。
目的现象：安全模式也加载、关闭杀毒程序等。
检测位置：
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls
补充说明：很少有正常程序会写入该位置，病毒几率变态大。典型例外：AVG互联网安全套装
四：服务以及驱动：
典型病毒：灰鸽子变种
目的现象：难于发现与清理、关闭杀毒程序等。
检测位置：
HKLM\System\CurrentControlSet\Services
补充说明：病毒写入底层服务与rootkits驱动，导致清除困难。
五：映像劫持
典型病毒：大多数AV病毒均会写入此位置
目的现象：简单粗暴地让某个特定文件名的文件无法执行
检测位置：
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
补充说明：被劫持的文件不一定是exe文件。如Papa在处理恐怖鸡感染号病毒时，为了防止ani.ani还原病毒主文件，便劫持ani.ani文件。
六：目前已知删除安全软件文件的检测位置
典型病毒：飘雪变种
目的现象：杀毒软件安装文件被删除、sreng改名后运行立即被删除等。
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
补充说明：已知变种均会修改hosts文件、在QQ目录下写入隐藏的病毒dll并且修改API HOOH。
七：Boot.ini文件
典型病毒：磁碟机变种
目的现象：独占访问Boot.ini文件，导致未更新的grub重启删除工具失效。
检测位置：Boot.ini
补充说明：在Vista操作系统下对该项检测没有意义。
小结：
检测报告的分析工作需要具备常用软件以及操作系统丰富的使用经验，才可以比较迅速准确地定位到具体问题。本文仅将对抗杀软类病毒常见的关注位置找出来供大家参考。其实还有很多病毒会加载的位置本文不做详述，请具体问题具体分析。

easybeing

得综合运用

舒羽

又学习了 谢谢分享

xfycn

这个好像在瑞星官网上见过

lixiang1977

分析得不错！