杀毒步骤原理的简单介绍(个人观点)
如果您在本论坛呆的时间足够长的话,你会发现,当我们发现病毒后,一般会采取以下两种方法清除病毒:
方法一、先干掉病毒注册表启动项(含服务、驱动程序、浏览器加载项)和系统自启动项(“开始--程序--启动”下联级菜单中对应的自启动文件),然后重启电脑删除病毒文件。
这是一种早期的杀毒方法。先杀注册表启动项,是为了下次重启后病毒文件无法通过注册表启动项自运行,这样我们就可以在WINDOWS情况下干掉病毒文件(如果病毒文件已经由注册表启动项加载运行,则WINDOWS不能删除活动状态下的文件)。
这个办法适用于病毒没有守护进程,且没有释放病毒模块插入系统核心进程(svchost.exe、services.exe、lsass.exe)运行的情况。
在这个方法基础上,还可以衍生出通过改变病毒文件名使病毒创建的注册表启动项加载病毒文件失败等技巧,不过由于目前的病毒注册表启动项特别多,而且多装备了守护功能,因此以上方法多用于2007年及以前。
方法二、先用批量文件删除工具杀掉病毒主体,再干掉病毒添加的注册表启动项、服务、驱动程序、浏览器加载项。
目前常用的批量文件删除工具有xdelbox、费尔强力删除工具、syscheck、360filekill等,特点是先把所有病毒文件和关联程序一次性杀掉,导致病毒添加的注册表启动项无法加载病毒文件,然后再清理掉这些已经失效的注册表启动项。
批量处理病毒文件的好处在于:可以一次性消灭病毒及守护进程,使病毒文件相互监视和守护的企图破产。
需要批量删除的病毒文件,如果是插入系统核心进程中的病毒模块,或者是被感染的系统核心进程,可以利用xdelbox、syscheck等工具所具有的DOS重启删除功能,在DOS状态下删除病毒文件,也可以在PE的虚拟系统环境下,一个个消灭或结合费尔强力删除工具一次性消灭。
在灭掉这些病毒文件后,注册表上的病毒启动项也就无用武之地了。用这个办法可能会出现“加载******出错的”错误提示对话框,这里我要告诉大家的是,出现这个提示其实是病毒文件已被消灭、病毒添加的注册表启动项已经无效的象征,那么,就可以放手对付注册表里病毒添加的尸体了……
方法三、等待大家创造。
用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322)
