据我所知,大多数病毒都使用注册表/启动文件夹将其添加到启动列表中。其他病毒可能使用自动启动的 Windows 服务。
那么其余的情况呢,如果病毒不在服务或启动列表中,那么它是如何启动的?
我最近遇到了这个问题,我清理了几乎所有可疑的启动注册表项和服务,但每次启动 Windows 时病毒仍然会启动。
有任何想法吗?
答案1
Windows 提供了无数的钩子,恶意代码可以添加到其中……Sysinternals'自动运行提供了其中许多内容的列表。这可能会有所帮助。
答案2
您可以通过运行受感染的文件来启动它们 - “受感染”意味着恶意软件的其他实例已将其代码的副本添加到以前安全的可执行程序中,以便当您运行该程序时,它也会运行恶意软件代码。
引导扇区
当 PC 启动时,它做的第一件事就是加载硬盘上的第一个数据块:通常包含主引导记录,这是一个很小的程序,可以找到可启动的操作系统(Windows、Linux 等)并加载它。
但该程序可能会被修改,因此每次启动 PC 时它都会加载一些恶意软件。
自动运行
如今,更常见的可能性是隐藏在 USB 闪存驱动器中的软件:Windows 传统上会在每个可移动设备(软盘、CD、USB 驱动器)上查找名为自动运行文件,它告诉它要自动运行哪些程序;因此,当你插入 USB 设备时,程序很容易潜伏在那里并被加载。
10-15 年前,这个自动运行功能本应是一种便利,但现在它却非常危险。
答案3
还有可能Rootkit它可以完全隐藏在操作系统(Windows 或其他)中
答案4
病毒可能已将自身添加到引导记录、Windows 引导加载程序或甚至是引导时加载的某些系统文件中。