[转载]观察注册表和系统配置文件查找电脑病毒

信息来源：西湖论坛

近来出现的所谓黑客程序，如木马程序，这些病毒一般是通过修改注册表中的启动、加载配置来达到自动启动或加载的，一般是在如下几个地方实现：
　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windwos\CurrentVersion\Run]

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windwos\CurrentVersionRunOnce]

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windwos\CurrentVersionRunSevices]

　　[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

　　[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion

　　\RunOnce]

　　等等，具体可参考另一篇文章——《通通透透看木马》，在其中对注册表中可能出现的地方会有一个比较详尽的分析。

　 系统配置文件观察

　 适用于黑客类程序，这类病毒一般在隐藏在system.ini 、wini.ini（Win9x/WinME）和启动组中，在system.ini文件中有一个"shell=”项，而在wini.ini文件中有“load= ”、“run= ”项，这些病毒一般就是在这些项目中加载它们自身的程序的，注意有时是修改原有的某个程序。我们可以运行Win9x/WinME中的msconfig.exe程序来一项一项查看。具体也可参考《通通透透看木马》一文。