病毒反抗杀毒软件的主要手段

竹木刀

　　如今出现了越来越多的对抗杀毒软件以及检测工具扫描的病毒，他们会关闭甚至删除杀毒软件以及检测工具。一般用户很难判断他们藏在哪里，做了些什么。而这时杀毒软件以及安全工具确普遍无法运行。
# @& M$ t" `5 k4 H" E! H4 {
* H9 T4 w1 N) D　　本文主要列举说明一些常见抗杀软类病毒的需要注意的检测位置。
& q# k3 D9 O8 h0 I, W7 O% F, p  v
　　一：Run键值

　　典型病毒：AV终结者变种

- ]9 ]3 k) H6 D8 t# e　　目的现象：开机启动双进程坚守、关闭杀毒程序等。
& n5 O8 P9 v" A
　　检测位置：
' j: E. [# f$ L+ T6 R. k
　　HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

* d6 ^+ ^% x8 M5 X8 S4 q* V　　补充说明：该位置属于常规启动项，很多程序会写。
, Y( }* C* T+ _/ k
　　二：执行挂钩
  y6 U6 Z3 m! v& d# A+ o
  ~) F& N5 d9 T. ]" l" \　　典型病毒：大量恶意软件以及病毒均会写入

　　目的现象：杀毒软件难于清理、关闭杀毒程序等。

: G' {) k7 z3 b. a8 p! W2 V) l9 a7 S　　检测位置：

6 C6 G; d3 T8 S" n" V　　HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
' \2 ]" @9 H8 l1 a4 N3 P
　　补充说明：很少有正常程序会写入该位置，病毒几率非常大。典型例外：瑞星反病毒软件
( c, R8 ]4 `( {( u7 D) S
　　三：Appinit_dlls

　　典型病毒：机器狗新变种、磁碟机变种。
3 @6 B7 E. f+ d. L
9 D; M: O" `3 d7 [# q　　目的现象：安全模式也加载、关闭杀毒程序等。

* a% X. _8 W7 Z9 }1 P　　检测位置：

　　HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows\Appinit_Dlls

7 E' y$ g! U' P8 p4 g" `　　补充说明：很少有正常程序会写入该位置，病毒几率变态大。典型例外：AVG互联网安全套装
0 ]4 m. ]+ ^/ ~: X0 p$ ]( {
! M$ Q* o6 z* w( V/ o( d' T4 |( |　　四：服务以及驱动：
' ~- s; |7 ~9 Y/ z/ r
　　典型病毒：灰鸽子变种
' A6 J+ `7 ~: N" b% A
9 X4 J7 l: i3 ~: _* ]- H! I　　目的现象：难于发现与清理、关闭杀毒程序等。

　　检测位置：
5 R& n1 j6 A7 G# {8 Z1 v
. O# }  l) d$ s+ l　　HKLM\System\CurrentControlSet\Services

　　补充说明：病毒写入底层服务与rootkits驱动，导致清除困难。
0 W; ~2 D+ `# w
0 v, n+ R# P  c0 K- Y7 V　　五：映像劫持

) s' N- N# l8 q2 D8 U- _8 f　　典型病毒：大多数AV病毒均会写入此位置

　　目的现象：简单粗暴地让某个特定文件名的文件无法执行
3 C% p  A1 Z. _( d8 R
/ |+ p; \1 }- r　　检测位置：
" ?- q( `: s" E) ~
& ]- q; p1 I4 T, ^　　HKLM\Software\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions
' r+ a2 C0 {5 x" x9 V. E
2 o$ P8 R7 q; K/ d+ ^6 `　　补充说明：被劫持的文件不一定是exe文件。如Papa在处理恐怖鸡感染号病毒时，为了防止ani.ani还原病毒主文件，便劫持ani.ani文件。
7 h/ V3 {. k4 ?' N4 V) b
3 T. ?' U8 u. v9 Y　　六：目前已知删除安全软件文件的检测位置
0 D1 }7 `2 a$ Y/ L" |
　　典型病毒：飘雪变种

) }5 ^" Y5 Z! F% J! X　　目的现象：杀毒软件安装文件被删除、sreng改名后运行立即被删除等。
" j) O! `) W$ \) L
　　HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
8 X' X# o  S' z
8 D2 I5 W! T( D- p; d* I- V8 |　　HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
- ^7 n- a+ p" F# ^; Q/ a
　　补充说明：已知变种均会修改hosts文件、在QQ目录下写入隐藏的病毒dll并且修改APIHOOH。

　　七：Boot.ini文件
+ ^3 i1 p* k: U3 X
! C) ^* ]& U2 d6 V, A6 D: j4 [　　典型病毒：磁碟机变种
2 }! j% t1 @/ |( ?
　　目的现象：独占访问Boot.ini文件，导致未更新的grub重启删除工具失效。
# N; I9 b: n# V6 q  O% v. O6 s
: Z7 Q* \* [, i8 S* |6 z- z　　检测位置：Boot.ini
, M' }  U1 B2 N% [2 R7 @2 t
　　补充说明：在Vista操作系统下对该项检测没有意义。
/ a" F7 p. c8 p4 h$ v3 n
# H7 ~* R1 }& f$ s( M# x! V! i; q　　小结：
- U) W( @5 V5 `. O/ ~) P/ G
　　检测报告的分析工作需要具备常用软件以及操作系统丰富的使用经验，才可以比较迅速准确地定位到具体问题。本文仅将对抗杀
  p, Q" q- a" G" p5 L6 s  D
9 y7 C) M* u1 |  m1 M+ ?9 w* o. V- k　　软类病毒常见的关注位置找出来供大家参考。其实还有很多病毒会加载的位置本文不做详述，请具体问题具体分析。
9 d' H) A8 p9 a+ _
　　附件为PapaCheck检测工具v3.0目前可以比较全面地检测到包括对抗杀毒软件、删除安全工具病毒在内的非感染型病毒的写入位置。

% [: m) X9 l$ g6 i) w　　如在Vista下面使用时，需要右键单击该文件后点击“以管理员身份运行”。
& P, \8 K+ l% e: j
　　注：在脚本运行时请阅读其中的免责信息。在检测的过程中有可能会提示“没有找到pkmws.dll，因此这个程序未能启动重新安装应用可能会修复此问题”点击“确定”即可。提示“插入软盘”，点击”“取消”即可。相关提示并不影响检测报告的生成。如果您没有执行扫描操作，按“CTRL+C”键终止或直接关闭了程序，则会在当前目录生成papa.com、papascan.bat、papawb.com、papashell.exe、papatask.exe这六个文件。相关文件释放与调用不会对您系统造成影响，检测结束后直接删除即可。