编程爱好者

 一. 奇怪的中毒现象在办公室的一台电脑上折腾半个小时后，电脑部的工程师只觉得眼皮不停狂跳，因为从刚开始接手这个任务开始，他就一直在做无用功：他随身带的U盘里引以为豪的众多维护工具包在这台机器上全军覆没，无论他直接在U盘上运行还是随便复制到哪个目录里，系统都是报告“找不到文件”或者直接没有运行起来的反应，他第一次感受到了恐惧，文件分明就好好的在眼皮底下，可它们就是“找不到”或死活不肯执行，莫非

 现在很多病毒都会在磁盘分区下释放相应的病毒文件和autorun.inf文件，如图1：（图1）类似熊猫烧香的玉兔病毒就采用了这种方法，导致中毒用户双击盘符会触发该病毒，我们除了通常要用资源管理器左边的文件树视图进入磁盘分区的好习惯还可以在每个磁盘分区下建立一个autorun.inf文件夹来预防（记住，还需在属性->安全选项卡中设置everyone的权限为拒绝访问，安全选项卡需要在文

 磁盘分区NTFS格式和FAT32格式的一个最大区别在于，NTFS格式可以设置访问权限。如果我们将系统分区设为FAT32格式就可以让System Volume Information无法成为病毒的温床。如图：  

 除了可以在每个磁盘分区内创建everyone拒绝访问的autorun.inf文件夹外，还可以进入注册表的如下位置：HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/MountPoints2如图1-6所示，操作步骤：（图1）（图2）（图3）（图4）（图5）（图6）我们

 前段时间下了个病毒样本在虚拟机里测试了一下，它首先干掉了我的安全模式，由于我事先将安全模式相关注册表项备份了，所以导入reg文件后恢复了安全模式。你可以在注册表中的这个位置找到它：HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/SafeBoot将它导出后，可以看到以下内容：Windows Registry Editor Ve

 现在有很多狡猾的病毒和木马将系统时间修改为杀毒软件的无效使用时间，让杀毒软件的监控功能失效。如病毒入侵系统后释放一个批处理文件，内容如下：@echo offset date=%date%date 1987-10-18ping -n 45 localhost > nulrem 这一行可以用来当大约45秒的计时器date %date%rem 这里的%date%是我们临时设置的date环境

 首先我们必须有一张带有杀毒软件的Windows PE启动光盘，在此推荐老毛桃的。可以到迅雷上下载WinPE，然后刻录成WinPE启动光盘。启动计算机，在BIOS中的Advanced BIOS Features的First Boot Device设置为CD-ROM启动（同时检查在Standard CMOS Features中有没有屏蔽光驱），将Windows PE启动光盘放入光驱，进入Wind