直捅病毒的要害-----病毒常修改的注册表位置（高手请板砖准备，真心求完善和学习）

Aar0N

今天教给初来乍到朋友一点基本防身术（高手请板砖准备 ，真心求完善和学习）

1、一般的病毒在开机时启动双进程坚守、关闭杀毒程序。 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run是否有陌生启动项。这里属于常规启动项，很多程序会写在这里。 　　
　　2、如果杀毒软件难于清理、或被关闭了杀毒程序，也有可能是被执行挂钩了。这时候应当检测HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer \ShellExecuteHooks，大量恶意软件以及病毒均会写入这里。因为，很少有正常程序会写入这里，病毒几率非常大。
　　3、有的时候，安全模式下杀毒程序被关闭了。重点检查一下 HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows\Appinit_Dlls。很少有正常程序会写入这个位置，病毒几率极高。 　　
　　4、有些病毒是写入底层服务与rootkits驱动，所以才导致清除困难。用户可以重点检查HKLM\System\CurrentControlSet\Services。 　　
　　5、如果发现某个特定文件名的文件无法执行了，十有八九是被映像劫持，重点排查 HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options，大多数AV病毒均会写在这里。当然，被劫持的文件不一定是exe文件。有的病毒为了防止ani.ani还原病毒主文件，便劫持 ani.ani文件。 　　
　　6、还有一些变种病毒可以将杀毒软件安装文件进行删除，而且会修改hosts文件、在QQ目录下写入隐藏的病毒dll并且修改API HOOH。这时可以重点检查HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer \SharedTaskScheduler 　　
　　7、HKLM\SOFTWARE\Microsoft\Windows \CurrentVersion\ShellServiceObjectDelayLoad 　　
了解隐藏之地，找到它就相当容易。大家在安装完系统的时候，推荐把以上七项注册表都备份下。以后中病毒后，可以先直接倒入备份的注册表文件。再把杀软升级到最新，然后进入安全模式下，进行全盘查杀。想必这样，病毒不死也大残了。

Aar0N

回复 2楼 270370121  的帖子

高手，我无语，希望您多提宝贵意见，这是给新手参考，裸奔的杀手大展身手为目的所写的，当然也为自己学习提供方便，职业老菜鸟献上
   

lwy4652

谢谢，

kocm520

谢谢了

virusdefender

感谢作者分享。

laocunzhang

谢谢分享，好好研究一下先，呵呵

hujiwa

平时不关心病毒的事情，暂时先收下了。今后锁死掉

gxrsprite

太少了。。。。。。

sd9527

进来学习,感谢LZ

ldfkafan

偶觉得，删除相关注册表后，再导入原先备份的，这样比较安全。