有病毒，隨後就出現了殺軟。
今天給大家分享下Windows系統中病毒的藏身之處，好讓大家以後直接揪出內鬼。

1. 一般的病毒在開機時啟動雙進程堅守、關閉殺毒程序。HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run是否有陌生啟動項。這裡屬於常規啟動項，很多程序會寫在這裡。
2. 如果殺毒軟件難於清理、或被關閉了殺毒程序，也有可能是被執行掛鉤了。這時候應當檢測HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks，大量惡意軟件以及病毒均會寫入這裡。因為，很少有正常程序會寫入這裡，病毒機率非常大。
3. 有的時候，安全模式下殺毒程序被關閉了。重點檢查一下HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows\Appinit_Dlls。很少有正常程序會寫入這個位置，病毒機率極高。
4. 有些病毒是寫入底層服務與rootkits驅動，所以才導致清除困難。用戶可以重點檢查HKLM\System\CurrentControlSet\Services。
5. 如果發現某個特定文件名 ​​的文件無法執行了，十有八九是被映像劫持，重點排查HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options，大多數AV病毒均會寫在這裡。當然，被劫持的文件不一定是exe文件。有的病毒為了防止ani.ani還原病毒主文件，便劫持ani.ani文件。
6. 還有一些變種病毒可以將殺毒軟件安裝文件進行刪除，而且會修改hosts文件、在QQ目錄下寫入隱藏的病毒dll ​​並且修改API HOOH。這時可以重點檢查HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
7. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad 了解隱藏之地，找到它就相當容易。

大家在安裝完系統的時候，推薦把以上七項註冊表都備份下。以後中病毒後，可以先直接倒入備份的註冊表文件。再把殺軟升級到最新，然後進入安全模式下，進行全盤查殺。想必這樣，病毒不死也大殘了。

（此篇文章為網路轉載，如有冒犯，請來信告知，當即刻移除！）