本文主要列舉說明一些需要注意和檢測的系統位置，以防范常見的抗殺軟類病毒。

 

　　一：Run鍵值

 

　　典型病毒：AV終結者變種

 

　　目的現象：開機啟動雙進程堅守、關閉殺毒程序等。

 

　　檢測位置：

 

　　HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

 

　　補充說明：該位置屬于常規啟動項，很多程序會寫。

 

　　二：執行掛鉤

 

　　典型病毒：大量惡意軟件以及病毒均會寫入

 

　　目的現象：殺毒軟件難于清理、關閉殺毒程序等。

 

　　檢測位置：

 

　　HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks

 

　　補充說明：很少有正常程序會寫入該位置，病毒幾率非常大。典型例外：瑞星反病毒軟件

 

　　三：Appinit_dlls

 

　　典型病毒：機器狗新變種、磁碟機變種。

 

　　目的現象：安全模式也加載、關閉殺毒程序等。

 

　　檢測位置：

 

　　HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows\Appinit_Dlls

 

　　補充說明：很少有正常程序會寫入該位置，病毒幾率變態大。典型例外：AVG互聯網安全套裝

 

四：服務以及驅動
　　典型病毒：灰鴿子變種

 

　　目的現象：難于發現與清理、關閉殺毒程序等。

 

　　檢測位置：

 

　　HKLM\System\CurrentControlSet\Services

 

　　補充說明：病毒寫入底層服務與rootkits驅動，導致清除困難。

 

　　五：映像劫持

 

　　典型病毒：大多數AV病毒均會寫入此位置

 

　　目的現象：簡單粗暴地讓某個特定文件名的文件無法執行

 

　　檢測位置：

 

　　HKLM\Software\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions

 

　　補充說明：被劫持的文件不一定是exe文件。如Papa在處理恐怖雞感染號病毒時，為了防止ani.ani還原病毒主文件，便劫持ani.ani文件。

 

　　六：目前已知刪除安全軟件文件的檢測位置

 

　　典型病毒：飄雪變種

 

　　目的現象：殺毒軟件安裝文件被刪除、sreng改名后運行立即被刪除等。

 

　　HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler

 

　　HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

 

　　補充說明：已知變種均會修改hosts文件、在QQ目錄下寫入隱藏的病毒dll并且修改APIHOOH。

 

　　七：Boot.ini文件

 

　　典型病毒：磁碟機變種

 

　　目的現象：獨占訪問Boot.ini文件，導致未更新的grub重啟刪除工具失效。

 

　　檢測位置：Boot.ini

 

　　補充說明：在Vista操作系統下對該項檢測沒有意義。

 

　　小結：檢測報告的分析工作需要具備常用軟件以及操作系統豐富的使用經驗，才可以比較迅速準確地定位到具體問題。本文僅將對抗殺軟類病毒常見的關注位置找出來供大家參考。其實還有很多病毒會加載的位置本文不做詳述，請具體問題具體分析。

 

　　PapaCheck檢測工具v3.0目前可以比較全面地檢測到包括對抗殺毒軟件、刪除安全工具病毒在內的非感染型病毒的寫入位置。如在Vista下面使用時，需要右鍵單擊該文件后點擊“以管理員身份運行”。

 

　　注：在腳本運行時請閱讀其中的免責信息。在檢測的過程中有可能會提示“沒有找到pkmws.dll，因此這個程序未能啟動重新安裝應用可能會修復此問題”點擊“確定”即可。提示“插入軟盤”，點擊”“取消”即可。相關提示并不影響檢測報告的生成。如果您沒有執行掃描操作，按“CTRL+C”鍵終止或直接關閉了程序，則會在當前目錄生成papa.com、papascan.bat、papawb.com、papashell.exe、papatask.exe這六個文件。相關文件釋放與調用不會對您系統造成影響，檢測結束后直接刪除即可。