重做系统后(重做系统会变流畅吗)

1 AUTORUN

有点过时了，但还是有很多人被吸引。形式是放AUTORUN.inf和**。exe放在磁盘的根目录下。

AUTORUN.inf通常如下所示：

引用

[AutoRun]

sheLl\open\DEfAult=1

OpeN=**.exe

sheLL\exPLORE\CommaND=**。 Extensions of executable programs

sHELL\opeN\coMmand=**。 Extensions of executable programs

ShelL\AUtoPlay\cOmmanD=**。 Extensions of executable programs

这是随机找到的一个AUTORUN，指向** .exe，只要双击盘符，就会运行* *。exe在那一刻。微软做这个功能本来是为了美化磁盘图标，所以有时候我们放在光盘里也能看到一些漂亮的图标。

而且有些光驱盘符只要你双击里面的安装程序就会运行。很人性化的设置，但是不加思考的用在本地盘上就不好看了。当你重装系统，不小心双击了另一个盘符，绝望的时刻又来了，不仅是本地盘，

还有一个u盘。作为外接存储设备，在不同的机器上拔是不可避免的。于是乎，这就成了u盘病毒的典型传播方式。很多。我现在能想到的只有雪。

2在第三方软件目录下蛋。

这个技术挺新颖的，最近才发布。很多人为了避免在c盘上产生过多的碎片，会选择将第三方软件安装在非系统盘上，尤其是像qq这样的即时通讯工具，聊天记录非常珍贵。所以这给了病毒复活的机会。

方法是在特定软件中添加一些自制的dll文件。一般和一些系统dll同名，比如WSOCK32.DLL，和WINDOWS的运行机制有关。为了提高可执行文件的效率，

会优先在这个目录下找到输入表中需要加载的DLL文件，找不到才会去SYSTEM32目录下找，这就让一些病毒钻了空子。当你重装系统兴高采烈打开QQ想和人废话的时候。悲剧再现。

典型代表是JAVQHC和中国吸血鬼(这个东西就是在所有文件夹里放一个WSOCK32.DLL)。说实话，有一点我还是有点搞不清楚。比如QQ的FINEPLUS插件，

如果你想运行FINEPLUS.exe，然后运行qq.exe，它会自动加载FINEPLUS.dll，但如果你删除FINEPLUS.dll，QQ仍然可以运行。本来我觉得应该修改一下可执行文件的输入表。

但现在看来，情况似乎并非如此。

3传染性类型

前两种方法有一些棘手的元素在里面，但是传染型无疑可以避免所有的意外(除非你只有一个系统盘)。有两种传染类型：

(1)附加感染

这无非就是在节目的开头或者结尾加一些素材。一般来说，在空白部分多加一点素材还是可以运行一个程序的(但应该只对特定的程序有效)。只要有Okumo在手，一般都能轻松搞定。

(2)覆盖感染

这无疑是最强大的，理论上。根本没有修复的可能，只能删除。不过说实话，我也不是很清楚原理。我不知道那些病毒覆盖了哪个程序。举个例子，上次我试验了“在线修复KAV”，几个月后我就忘了。

重新加载虚拟机后，运行在D盘上的SSM安装文件仍然是可执行的，但是进度条卡在中间。系统又中毒了。

典型代表：熊猫烧香，小浩

总体来说感染型有几个规律

1.感染非系统盘的可执行文件

2.运行中的程序不感染

3.压缩包内的程序不感染（这点也不是做不到，而是工作量实在太庞大。而且最重要的一点。就是不知道哪个EXE对应哪个RAR文件）