重装系统也无法解决中毒的几种技术

沙之手痕

早在上个世纪CIH出世之日，重装万能论这种不着调的东西就应该结束了。但是没想到时至今日，依旧有无数人将其奉为真理，实行着裸奔的勇敢举动，认为出了事重装就行。于是，今天我就稍微总结下一些让重装万能论失效的东西。

1 AUTORUN

已经是有点过时的东西了，但依旧有好多人中招。形式就是在磁盘的根目录下放入 AUTORUN.inf跟XXX.exe

AUTORUN.inf通常内容如下：

引用

[AutoRun]

sheLl＼open＼DEfAult=1

OpeN=xxx.exe

sheLL＼exPLORE＼CommaND=xxx.exe

sHELL＼opeN＼coMmand= xxx.exe

ShelL＼AUtoPlay＼cOmmanD= xxx.exe

这是随便找来的一个AUTORUN，指向xxx.exe，只要一双击盘符就会在那一瞬间运行xxx.exe。微软做这个功能出来当初是为了美化磁盘图标用的，所以我们有时候放入光盘时可以看到一些漂亮的图标，而且有些光盘盘符只要一双击里面的安装程序就会运行。很人性化的设定，但是不加思考的用在本地磁盘上就一点都不美了。当你重装完系统，无意中双击其他盘符的时候，绝望的一刻又来了，不光是本地磁盘，遭殃的还有U盘，U盘作为外存储设备，在不同的机器上拔拔插插是必不可免的。于是，这也就成了U盘病毒传播的途径，典型代表。。。很多。。。。现在想的起来的只有飘雪。

2 向第三方软件目录下下蛋

这个手法蛮新颖的，算是最近新出炉的。很多人为了避免在C盘产生太多碎片都会选择将第三方软件装在非系统盘里，尤其是像QQ这种即时通讯工具，聊天记录是很珍贵的。于是这就给了病毒复活的机会。

方法就是往特定软件下添加一些自制DLL文件。一般与一些系统DLL的名字相同，比如说WSOCK32.DLL这跟WINDOWS的运行机制有关，可执行文件在运行的时候为了提升效率，会优先在本目录下寻找输入表中需要加载的DLL文件，在找不到的情况下才会去SYSTEM32目录下寻找，于是这就让一些病毒钻了空子，当你重装完系统，兴高采烈地打开QQ想跟人胡侃时。。。悲剧再现。。。

典型的代表有JAVQHC还有中华吸血鬼（这个东西是在所有文件夹目录下都放个WSOCK32.DLL）说实话，有一点我到现在还有点迷糊的说。比如说QQ的FINEPLUS插件，要运行了FINEPLUS.exe再运行QQ.exe它就会自动加载FINEPLUS.dll，可是把FINEPLUS.dll删除，qq依旧可以运行。本来我以为应该是修改了可执行文件的输入表。但是现在看下来，实际情况似乎不是这样的......


3 感染型

前两种方法都是有一些取巧的成分在其中，但是感染型无疑是可以避免一切意外情况的发生（除非你就只有一个系统盘）感染型又分两种：

(1) 添加型感染

这种无非就是在程序头部或者尾部加点料而已，稍微高超点的往空白段里加（不过应该是只对特定程序有效）程序一般来说还是可以运行的。只要有大蜘蛛在手，一般都能轻松搞定。

(2) 覆盖型感染

这个无疑是最强悍的，理论上来说。彻底没有修复的可能，只能删除。不过原理说实在的我也不是很清楚，我不知道那些病毒它覆盖的到底是哪段的程序，比如上次我实验"在线修复KAV"的时候，过了几个月我都给忘了，重装虚拟机后运行在D盘的SSM安装文件，依旧可执行，只是进度条到一半卡死了。系统再度中毒。

典型代表：熊猫烧香，小浩

总体来说感染型有几个规律

1.感染非系统盘的可执行文件

2.运行中的程序不感染

3.压缩包内的程序不感染（这点也不是做不到，而是工作量实在太庞大。。。而且最重要的一点。。。就是不知道哪个EXE对应哪个RAR文件）

xinhaozs

恩全盘感染的最恶心了

bugman

除了当年的CIH是真正的重装无效外，其他都是可以解决的。
只是一般的重装都不会去动其他盘的东西，这也就导致了感染的东西没有清楚，以至于使用时再度感染，所以导出了重装都不能解决。
在现在这个时代，全盘格式化+重装还搞不定的病毒，至少我没见过。最多在就呆在实验室而已。
还有，不知道楼主是否是转帖，如果是原创，那么楼主显然不了解感染病毒。
你最后列举的3点：

总体来说感染型有几个规律

1.感染非系统盘的可执行文件

2.运行中的程序不感染

3.压缩包内的程序不感染（这点也不是做不到，而是工作量实在太庞大。。。而且最重要的一点。。。就是不知道哪个EXE对应哪个RAR文件）

任何一点都是有问题的：
1.好多病毒还是感染系统盘里的文件的，不过，大部分都会保护一些重要的系统文件不被感染。不过感染exploer.exe和userinit.exe的病毒也多的是。

2.感染进程中的程序的也有，virut就是个典型的例子

3.不感染压缩包里的文件工程庞大？感染压缩包的文件才算大吧？不过实现这个也不是太难的事，至少winrar就提供了接口，先解压缩，再感染，最后再打包，技术上完全可以实现。犇牛，也就是usp10.dll，就用过这招。

easybeing

真是全盘感染那就干脆格盘，否则拿出来杀毒也是杀完用不了

mtss

还没有碰到过这种情况

hptutu

现在有的病毒真的是只有全盘重格才清得了。

ccfyzh

AUTORUN是吧？感染是吧？话说我都是格掉CDE盘才重装的……不留一个可执行文件