重灌系統也無法解決中毒的幾種技術

　　早在上個世紀CIH出世之日，重灌萬能論這種不著調的東西就應該結束了。但是沒想到時至今日，依舊有無數人將其奉為真理，實行著裸奔的勇敢舉動，認為出了事重灌就行。接下來是小編為大家收集的，希望能幫到大家。

　　1 AUTORUN

　　已經是有點過時的東西了，但依舊有好多人中招。形式就是在磁碟的根目錄下放入 AUTORUN.inf跟XXX.exe

　　AUTORUN.inf通常內容如下：

　　引用

　　[AutoRun]

　　sheLl\open\DEfAult=1

　　OpeN=xxx.exe

　　sheLL\exPLORE\CommaND=xxx.exe

　　sHELL\opeN\coMmand= xxx.exe

　　ShelL\AUtoPlay\cOmmanD= xxx.exe

　　這是隨便找來的一個AUTORUN，指向xxx.exe，只要一雙擊碟符就會在那一瞬間執行xxx.exe。微軟做這個功能出來當初是為了美化磁碟圖示用的，所以我們有時候放入光碟時可以看到一些漂亮的圖示，而且有些光碟碟符只要一雙擊裡面的安裝程式就會執行。很人性化的設定，但是不加思考的用在本地磁碟上就一點都不美了。當你重灌完系統，無意中雙擊其他碟符的時候，絕望的一刻又來了，不光是本地磁碟，遭殃的還有U盤，U盤作為外儲存裝置，在不同的機器上拔拔插插是必不可免的。於是，這也就成了U盤病毒傳播的途徑，典型代表。。。很多。。。。現在想的起來的只有飄雪。

　　2 向第三方軟體目錄下下蛋

　　這個手法蠻新穎的，算是最近新出爐的。很多人為了避免在C盤產生太多碎片都會選擇將第三方軟體裝在非系統盤裡，尤其是像QQ這種即時通訊工具，聊天記錄是很珍貴的。於是這就給了病毒復活的機會。

　　方法就是往特定軟體下新增一些自制dll檔案。一般與一些系統DLL的名字相同，比如說WSOCK32.DLL這跟WINDOWS的執行機制有關，可執行檔案在執行的時候為了提升效率，會優先在本目錄下尋找輸入表中需要載入的DLL檔案，在找不到的情況下才會去SYSTEM32目錄下尋找，於是這就讓一些病毒鑽了空子，當你重灌完系統，興高采烈地開啟QQ想跟人胡侃時。。。悲劇再現。。。

　　典型的代表有JAVQHC還有中華吸血鬼***這個東西是在所有資料夾目錄下都放個WSOCK32.DLL***說實話，有一點我到現在還有點迷糊的說。比如說QQ的FINEPLUS外掛，要運行了FINEPLUS.exe再執行QQ.exe它就會自動載入FINEPLUS.dll，可是把FINEPLUS.dll刪除，qq依舊可以執行。本來我以為應該是修改了可執行檔案的輸入表。但是現在看下來，實際情況似乎不是這樣的......

　　3 感染型

　　前兩種方法都是有一些取巧的成分在其中，但是感染型無疑是可以避免一切意外情況的發生***除非你就只有一個系統盤***感染型又分兩種：

　　***1*** 新增型感染

　　這種無非就是在程式頭部或者尾部加點料而已，稍微高超點的往空白段里加***不過應該是隻對特定程式有效***程式一般來說還是可以執行的。只要有大蜘蛛在手，一般都能輕鬆搞定。

　　***2*** 覆蓋型感染

　　這個無疑是最強悍的，理論上來說。徹底沒有修復的可能，只能刪除。不過原理說實在的我也不是很清楚，我不知道那些病毒它覆蓋的到底是哪段的程式，比如上次我實驗"線上修復KAV"的時候，過了幾個月我都給忘了，重灌虛擬機器後執行在D盤的SSM安裝檔案，依舊可執行，只是進度條到一半卡死了。系統再度中毒。

　　典型代表：熊貓燒香，小浩

　　總體來說感染型有幾個規律

　　1.感染非系統盤的可執行檔案

　　2.執行中的程式不感染

　　3.壓縮包內的程式不感染***這點也不是做不到，而是工作量實在太龐大。。。而且最重要的一點。。。就是不知道哪個EXE對應哪個rar檔案***

　　以上幾點總結完畢，還有一些非主流的技術太過於依賴RP，一些太牛X的技術我也不是很懂***比如在不可見扇區裡塞東西：引導型病毒***。。。。所以就不講了。