假设我要进行完整的系统扫描,但我想指定扫描仪查看某些目录。
Windows XP、Vista 和 7 的目录是什么?
我知道常见的是,/System32但是恶意软件可能驻留在哪些地方?
答案1
如果植入该病毒的程序在管理员帐户下运行并授予权限,那么该病毒就可以驻留在任何地方。通常,您还会在临时文件夹(例如 IE 缓存)中找到恶意软件,因为某些文件夹默认为可写,甚至标准用户也是如此 —— 这是恶意软件的完美滋生地。
答案2
最有效的第二阶段恶意软件或导致最多症状的恶意软件是 rootkit - 内核模式驱动程序,因此它们通常隐藏在“c:\windows\system32\drivers”中或感染 MBR。使用自动运行识别它们。通常,它们的初始有效载荷被部署到临时 Internet 文件或隐藏的用户目录中。一旦系统被感染,了解这些目录通常就无关紧要了,因为它们由 rootkit 控制,即使你设法删除它们,它们也会很快在其他地方重写。我还没有找到有效的防病毒软件来删除它们,所以一个组合盘,从可靠的 Cleanup 或 Cleaner 开始;在安全模式下从管理员配置文件运行 Combofix(以管理员身份运行),然后使用 sysinternals 工具挑出任何落后者
答案3
恶意软件可能无处不在。就我个人经验而言,我通常会在 Program Files 文件夹中找到它们。如果非常担心,您可能需要每隔几天运行一次扫描。我强烈推荐 Microsoft Security Essentials:http://www.microsoft.com/security_essentials/
答案4
我通常在用户帐户的 Documents 和 Temp 文件夹、IE 临时 Internet 文件文件夹中找到它们。