病毒隐藏技术

下面是小编整理的病毒隐藏技术，本文共12篇，欢迎您阅读，希望对您有所帮助。本文原稿由网友“管员理”提供。

篇1：病毒隐藏技术

任何病毒都希望在被感染的计算机中隐藏起来不被发现，而这也是定义一个病毒行为的主要方面之一，因为病毒都只

有在不被发现的情况下，才能实施其破坏行为，为了达到这个目的，许多最新发现的病毒使用了各种不同的技术来躲避反

病毒软件的检验。而这种技术与最新的反病毒软件所使用的技术相似（本来就相同，大家是兄弟，病毒与杀毒软件，彼此

彼此）。

这次我们将讨论一些病毒所使用的最基本的隐藏技术，以后还将讨论一些较新较复杂的技术。

一个最常用最知名的技术被称为“秘密行动”法，这个技术的关键就是把病毒留下的有可能被立即发现的痕迹掩盖掉。

这些痕迹包括被感染文件莫名其妙增大或是文件建立时间的改变等，

由于它们太明显，很容易被用户发现，所以很多病毒

的制造者都会使用一种技术来截取从磁盘上读取文件的服务程序，通过这种技术就能使得已被改动过的文件大小和创建时

间看上去与改动前一样，这样就能骗过使用者使他们放松警惕。

在“秘密行动”法问世以后，由于常驻内存反病毒软件的出现，一种名为“钻隧道”的方法又被开发了出来。

常驻内存反病毒软件能防止病毒对计算机的破坏，它们能阻止病毒向磁盘的引导区和其它敏感区写入数据，约笆凳?lt;BR>对应用程序的修改和格式化硬盘等破坏活动。而“钻隧道”法能直接取得并使用为系统服务的原始内存地址，由此绕开常

驻内存的反病毒过滤器，这样病毒感染文件的时候就不会被反病毒软件发现。

通过以上的论述，也许大家就能了解安装集成了最新技术的反病毒软件的重要性。

篇2：病毒隐藏技术病毒防治

病毒隐藏技术

任何病毒都希望在被感染的计算机中隐藏起来不被发现，而这也是定义一个病毒行为的主要方面之一，因为病毒都只有在不被发现的情况下，才能实施其破坏行为，为了达到这个目的，许多最新发现的病毒使用了各种不同的技术来躲避反 病毒软件的检验。而这种技术与最新的反病毒软件所使用的技术相似（本来就相同，大家是兄弟，病毒与杀毒软件，彼此彼此）。

这次我们将讨论一些病毒所使用的最基本的隐藏技术，以后还将讨论一些较新较复杂的技术。

一个最常用最知名的技术被称为“秘密行动”法，这个技术的关键就是把病毒留下的有可能被立即发现的痕迹掩盖掉。 这些痕迹包括被感染文件莫名其妙增大或是文件建立时间的改变等。由于它们太明显，很容易被用户发现，所以很多病毒 的制造者都会使用一种技术来截取从磁盘上读取文件的服务程序，通过这种技术就能使得已被改动过的文件大小和创建时 间看上去与改动前一样，这样就能骗过使用者使他们放松警惕，

在“秘密行动”法问世以后，由于常驻内存反病毒软件的出现，一种名为“钻隧道”的方法又被开发了出来。

常驻内存反病毒软件能防止病毒对计算机的破坏，它们能阻止病毒向磁盘的引导区和其它敏感区写入数据，以及实施 对应用程序的修改和格式化硬盘等破坏活动。而“钻隧道”法能直接取得并使用为系统服务的原始内存地址，由此绕开常 驻内存的反病毒过滤器，这样病毒感染文件的时候就不会被反病毒软件发现。

通过以上的论述，也许大家就能了解安装集成了最新技术的反病毒软件的重要性。

关 键 字：病毒防治

篇3：信息隐藏技术浅析

信息隐藏技术浅析

阐述了信息隐藏技术的分类和特征,总结和研究了一系列信息隐藏方面的理论问题,介绍了信息隐藏的.算法和信息隐藏技术的应用.

作 者：吴培璋 史健芳 WU Pei-zhang SHI Jian-fang  作者单位：太原理工大学信息工程学院,山西太原,030024 刊 名：科技情报开发与经济 英文刊名：SCI-TECH INFORMATION DEVELOPMENT & ECONOMY 年，卷(期)： 19(5) 分类号：G203 关键词：信息安全   信息隐藏技术   数字水印  

篇4：超级病毒技术

超级病毒技术是一种很先进的病毒技术，它的主要目的是对抗计算机病毒的预防技术。

假定一个计算机病毒进行感染、破坏时，反病毒工具根本无法获取运行的机会，那么病毒的感染、破坏过程也可以顺利的完成了。由于计算机病毒的感染、破坏必然伴随着磁盘的读写操作，所以能否预防计算机病毒的关键在于：在对磁盘进行读写操作时，病毒预防工具能否获得运行的机会以对这些读写操作进行判断分析。

超级病毒技术就是在计算机病毒进行感染、破坏时，使得病毒预防工具无法获得运行机会的病毒技术，

一般病毒攻击计算机时，往往窃取某些中断功能，要借助于DOS的帮忙才能完成操作。例如，在PC机中病毒要写盘，必须借助于原DOS的INT 13H，病毒作者知道，反病毒工具（软件的或硬件的）都是在DOS中设置许多陷阱，等待病毒来碰，一碰陷阱，病毒便被抓获。超级病毒作者，以更高的技术编写了完全不借助于DOS系统而能攻击计算机的病毒。此类病毒攻击计算机时，完全依靠病毒内部代码来进行操作，避免碰触DOS系统，不会掉入反病毒陷阱，极难捕获。一般的软件或反病毒工具遇到此类病毒都失效。

超级计算机病毒目前还比较少，因为它的技术还不为许多人所知，而且编制也有相当的难度。然而一旦这种技术被越来越多的人掌握，同时结合多态性病毒技术、插入性病毒技术，这样的病毒将给反病毒的艰巨事业雪上加霜。

篇5：将隐藏的病毒文件斩草除根

在选择显示隐藏文件，发现U盘有个文件闪出来一下就马上又消失了，而再打开文件夹选项时，发现仍就是“不显示隐藏文件”，这一选项，而且刚发现点击C、D等盘符图标时会另外打开一个窗口!

总结

I、病情描述

1、无法显示隐藏文件;

2、点击C、D等盘符图标时会另外打开一个窗口;

3、用Winrar查看时发现C、D等根目录下有autorun.inf和tel.xls.exe两个恶心的文件;

4、任务管理器中的应用进程一栏里有个莫明其妙的kill;

5、开机启动项中有莫明其妙的SocksA.exe。

II、解决办法

用了一些专杀工具和DOS下的批处理文件，都不好使，只好DIY。注意在以下整个过程中不要双击硬盘分区，需要打开时用鼠标右键D打开。

一、关闭病毒进程

在任务管理器应用程序里面查找类似kill等你不认识的进程，右键D转到进程，找到类似SVOHOST.exe(也可能就是某个svchost.exe)的进程，右键D结束进程树。

二、显示出被隐藏的系统文件

开始D运行DregeditD输入

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\windows\\CurrentVersion\\explorer\\ Advanced\\Folder\\Hidden\\SHOWALL

删除CheckedValue键值，单击右键 新建DDword值D命名为CheckedValue，然后修改它的键值为1，这样就可以选择“显示所有隐藏文件”和“显示系统文件”，

三、删除病毒

在分区盘上单击鼠标右键D打开，看到每个盘跟目录下有autorun.inf 和tel\\.xls\\.exe 两个文件，将其删除，U盘同样。

四、删除病毒的自动运行项

开始D运行DmsconfigD启动D删除类似sacksa.exe、SocksA.exe之类项，或者打开注册表运行regedit

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

删除类似C:\\WINDOWS\\system32\\SVOHOST.exe 的项。

五、删除遗留文件

C:\\WINDOWS\\ 跟 C:\\WINDOWS\\system32\\ 目录下删除SVOHOST.exe(注意系统有一个类似文件，图标怪异的那个类似excel的图标的是病毒)session.exe、sacaka.exe、SocksA.exe以及所有excel类似图标的文件，每个文件夹两个，不要误删哦，自己注意。重启电脑后，基本可以了

篇6：手工清除隐藏的病毒和木马

检查注册表

注册表一直都是很多木马和病毒“青睐”的寄生场所，注意在检查注册表之前要先给注册表备份，

1、检查注册表中HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼Run和HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼Runserveice，查看键值中有没有自己不熟悉的自动启动文件，扩展名一般为EXE，然后记住木马程序的文件名，再在整个注册表中搜索，凡是看到了一样的文件名的键值就要删除，接着到电脑中找到木马文件的藏身地将其彻底删除?比如“爱虫”病毒会修改上面所提的第一项，BO木马会修改上面所提的第二项)。

2、检查注册表HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER＼SOFTWARE＼Microsoft＼Internet Explorer＼Main中的几项(如Local Page)，如果发现键值被修改了，只要根据你的判断改回去就行了。恶意代码(如“万花谷”)就经常修改这几项。

3、检查HKEY_CLASSES_ROOT＼inifile ＼shell＼open＼command和HKEY_CLASSES_ROOT ＼txtfile＼shell＼open＼command等等几个常用文件类型的默认打开程序是否被更改。这个一定要改回来，很多病毒就是通过修改.txt、.ini等的默认打开程序而清除不了的，

例如“罗密欧与朱丽叶”?BleBla病毒就修改了很多文件(包括.jpg、.rar、.mp3等)的默认打开程序。

检查你的系统配置文件

其实检查系统配置文件最好的方法是打开Windows“系统配置实用程序”(从开始菜单运行msconfig.exe)，在里面你可以配置Config.sys、Autoexec.bat、system.ini和win.ini，并且可以选择启动系统的时间。

1、检查win.ini文件(在C?＼windows＼下)，打开后，在?WINDOWS?下面，“run=”和“load=”是可能加载“木马”程序的途径，必须仔细留心它们。在一般情况下，在它们的等号后面什么都没有，如果发现后面跟有路径与文件名不是你熟悉的启动文件，你的计算机就可能中上“木马”了。比如攻击QQ的“GOP木马”就会在这里留下痕迹。

2、检查system.ini文件(在C:＼windows＼下)，在BOOT下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”，如果不是“explorer.exe”，而是“shell= explorer.exe 程序名”，那么后面跟着的那个程序就是“木马”程序，然后你就要在硬盘找到这个程序并将其删除了。这类的病毒很多，比如“尼姆达”病毒就会把该项修改为“shell=explorer.exe load.exe -dontrunold”。

点击阅读更多学院相关文章>>

分享到

篇7：木马各种隐藏技术全方位大披露

以前，我曾认为只要不随便运行网友发来的文件就不会中病毒或木马，但后来出现了利用漏洞传播的冲击波、震荡波;以前，我曾认为不上小网站就不会中网页木马，但后来包括国内某知名游戏网站在内的多个大网站均在其首页被黑客挂上了木马。从此，我知道:安全，从来没有绝对的。

虽然没有绝对的安全，但如果能知已知彼，了解木马的隐藏手段，对于木马即使不能百战百胜，也能做到及时发现，使损失最小化。那么，木马究竟是如何躲在我们的系统中的呢？

最基本的隐藏:不可见窗体＋隐藏文件

木马程序无论如何神秘，但归根究底，仍是Win32平台下的一种程序。Windows下常见的程序有两种:

1.Win32应用程序(Win32 Application)，比如QQ、Office等都属于此行列。

2.Win32控制台程序(Win32 Console)，比如硬盘引导修复程序FixMBR。

其中，Win32应用程序通常会有应用程序界面，比如系统中自带的“计算器”就有提供各种数字按钮的应用程序界面。木马虽然属于Win32应用程序，但其一般不包含窗体或隐藏了窗体(但也有某些特殊情况，如木马使用者与被害者聊天的窗口)，并且将木马文件属性设置为“隐藏”，这就是最基本的隐藏手段，稍有经验的用户只需打开“任务管理器”，并且将“文件夹选项”中的“显示所有文件”勾选即可轻松找出木马(见图1)，于是便出现了下面要介绍的“进程隐藏”技术。

第一代进程隐藏技术:Windows 98的后门

在Windows 98中，微软提供了一种能将进程注册为服务进程的方法。尽管微软没有公开提供这种方法的技术实现细节(因为Windows的后续版本中没有提供这个机制)，但仍有高手发现了这个秘密，这种技术称为RegisterServiceProcess。只要利用此方法，任何程序的进程都能将自己注册为服务进程，而服务进程在Windows 98中的任务管理器中恰巧又是不显示的，所以便被木马程序钻了空子。

要对付这种隐藏的木马还算简单，只需使用其他第三方进程管理工具即可找到其所在，并且采用此技术进行隐藏的木马在Windows 2000/XP(因为不支持这种隐藏方法)中就得现形！中止该进程后将木马文件删除即可。可是接下来的第二代进程隐藏技术，就没有这么简单对付了。

第二代进程隐藏技术:进程插入

在Windows中，每个进程都有自己的私有内存地址空间，当使用指针(一种访问内存的机制)访问内存时，一个进程无法访问另一个进程的内存地址空间，就好比在未经邻居同意的情况下，你无法进入邻居家吃饭一样。比如QQ在内存中存放了一张图片的数据，而MSN则无法通过直接读取内存的方式来获得该图片的数据。这样做同时也保证了程序的稳定性，如果你的进程存在一个错误，改写了一个随机地址上的内存，这个错误不会影响另一个进程使用的内存。

你知道吗——进程(Process)是什么

对应用程序来说，进程就像一个大容器。在应用程序被运行后，就相当于将应用程序装进容器里了，你可以往容器里加其他东西(如:应用程序在运行时所需的变量数据、需要引用的DLL文件等)，当应用程序被运行两次时，容器里的东西并不会被倒掉，系统会找一个新的进程容器来容纳它。

一个进程可以包含若干线程(Thread)，线程可以帮助应用程序同时做几件事(比如一个线程向磁盘写入文件，另一个则接收用户的按键操作并及时做出反应，互相不干扰)，在程序被运行后中，系统首先要做的就是为该程序进程建立一个默认线程，然后程序可以根据需要自行添加或删除相关的线程(见图2 进程关系图)。

1.进程插入是什么

独立的地址空间对于编程人员和用户来说都是非常有利的。对于编程人员来说，系统更容易捕获随意的内存读取和写入操作。对于用户来说，操作系统将变得更加健壮，因为一个应用程序无法破坏另一个进程或操作系统的运行。当然，操作系统的这个健壮特性是要付出代价的，因为要编写能够与其他进程进行通信，或者能够对其他进程进行操作的应用程序将要困难得多。但仍有很多种方法可以打破进程的界限，访问另一个进程的地址空间，那就是“进程插入”(Process Injection)。一旦木马的DLL插入了另一个进程的地址空间后，就可以对另一个进程为所欲为，比如下文要介绍的盗QQ密码。

2.木马是如何盗走QQ密码的

普通情况下，一个应用程序所接收的键盘、鼠标操作，别的应用程序是无权“过问”的。可盗号木马是怎么偷偷记录下我的密码的呢？木马首先将1个DLL文件插入到QQ的进程中并成为QQ进程中的一个线程，这样该木马DLL就赫然成为了QQ的一部分！然后在用户输入密码时，因为此时木马DLL已经进入QQ进程内部，所以也就能够接收到用户传递给QQ的密码键入了，真是“家贼难防”啊！ 3.如何插入进程

(1)使用注册表插入DLL

早期的进程插入式木马的伎俩，通过修改注册表中的[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWindowsAppInit_DLLs]来达到插入进程的目的。缺点是不实时，修改注册表后需要重新启动才能完成进程插入。

(2)使用挂钩(Hook)插入DLL

比较高级和隐蔽的方式，通过系统的挂钩机制(即“Hook”，类似于DOS时代的“中断”)来插入进程(一些盗QQ木马、键盘记录木马以Hook方式插入到其他进程中“偷鸡摸狗”)，需要调用SetWindowsHookEx函数(也是一个Win32 API函数)。缺点是技术门槛较高，程序调试困难，这种木马的制作者必须具有相当的Win32编程水平。

你知道吗——什么是API

Windows中提供各种功能实现的接口称为Win32 API(Application Programming Interface，即“应用程序编程接口”)，如一些程序需要对磁盘上的文件进行读写，就要先通过对相应的API(文件读写就要调用文件相关的API)发出调用请求，然后API根据程序在调用其函数时提供的参数(如读写文件就需要同时给出需要读写的文件的文件名及路径)来完成请求实现的功能，最后将调用结果(如写入文件成功，或读取文件失败等)返回给程序(见图3 应用程序、Win32 API、系统的关系图)。

(3)使用远程线程函数(CreateRemoteThread)插入DLL

在Windows 2000及以上的系统中提供了这个“远程进程”机制，可以通过一个系统API函数来向另一个进程中创建线程(插入DLL)。缺点很明显，仅支持Windows 2000及以上系统，在国内仍有相当多用户在使用Windows 98，所以采用这种进程插入方式的木马缺乏平台通用性。

木马将自身作为DLL插入别的进程空间后，用查看进程的方式就无法找出木马的踪迹了，你能看到的仅仅是一些正常程序的进程，但木马却已经偷偷潜入其中了。解决的方法是使用支持“进程模块查看”的进程管理工具(如“Windows优化大师”提供的进程查看)，木马的DLL模块就会现形了。

不要相信自己的眼睛:恐怖的进程“蒸发”

严格地来讲，这应该算是第2.5代的进程隐藏技术了，可是它却比前几种技术更为可怕得多。这种技术使得木马不必将自己插入到其他进程中，而可以直接消失！

它通过Hook技术对系统中所有程序的进程检测相关API的调用进行了监控，“任务管理器”之所以能够显示出系统中所有的进程，也是因为其调用了EnumProcesses等进程相关的API函数，进程信息都包含在该函数的返回结果中，由发出调用请求的程序接收返回结果并进行处理(如“任务管理器”在接收到结果后就在进程列表中显示出来)。

而木马由于事先对该API函数进行了Hook，所以在“任务管理器”(或其他调用了列举进程函数的程序)调用EnumProcesses函数时(此时的API函数充当了“内线”的角色)，木马便得到了通知，并且在函数将结果(列出所有进程)返回给程序前，就已将自身的进程信息从返回结果中抹去了。就好比你正在看电视节目，却有人不知不觉中将电视接上了DVD，你在不知不觉中就被欺骗了。

所以无论是“任务管理器”还是杀毒软件，想对这种木马的进程进行检测都是徒劳的。这种木马目前没有非常有效的查杀手段，只有在其运行前由杀毒软件检测到木马文件并阻止其病毒体的运行。当时还有一种技术是由木马程序将其自身的进程信息从Windows系统用以记录进程信息的“进程链表”中删除，这样进程管理工具就无法从“进程链表”中获得木马的进程信息了。但由于缺乏平台通用性而且在程序运行时有一些问题，所以没有被广泛采用。 你知道吗——什么是Hook

Hook是Windows中提供的一种用以替换DOS下“中断”的一种系统机制，中文译名为“挂钩”或“钩子”。在对特定的系统事件(包括上文中的特定API函数的调用事件)进行Hook后，一旦发生已Hook的事件，对该事件进行Hook的程序(如:木马)就会收到系统的通知，这时程序就能在第一时间对该事件做出响应(木马程序便抢在函数返回前对结果进行了修改)。

毫无踪迹:全方位立体隐藏

利用刚才介绍的Hook隐藏进程的手段，木马可以轻而易举地实现文件的隐藏，只需将Hook技术应用在文件相关的API函数上即可，这样无论是“资源管理器”还是杀毒软件都无法找出木马所在了。更令人吃惊的是，现在已经有木马(如:灰鸽子)利用该技术实现了文件和进程的隐藏。要防止这种木马最好的手段仍是利用杀毒软件在其运行前进行拦截。

跟杀毒软件对着干:反杀毒软件外壳

木马再狡猾，可是一旦被杀毒软件定义了特征码，在运行前就被拦截了。要躲过杀毒软件的追杀，很多木马就被加了壳，相当于给木马穿了件衣服，这样杀毒软件就认不出来了，但有部分杀毒软件会尝试对常用壳进行脱壳，然后再查杀(小样，别以为穿上件马夹我就不认识你了)。除了被动的隐藏外，最近还发现了能够主动和杀毒软件对着干的壳，木马在加了这种壳之后，一旦运行，则外壳先得到程序控制权，由其通过各种手段对系统中安装的杀毒软件进行破坏，最后在确认安全(杀毒软件的保护已被瓦解)后由壳释放包裹在自己“体内”的木马体并执行之。对付这种木马的方法是使用具有脱壳能力的杀毒软件对系统进行保护。

你知道吗——什么是壳

顾名思义，你可以很轻易地猜到，这是一种包在外面的东西。没错，壳能够将文件(比如EXE)包住，然后在文件被运行时，首先由壳获得控制权，然后释放并运行包裹着的文件体。很多壳能对自己包住的文件体进行加密，这样就可以防止杀毒软件的查杀。比如原先杀毒软件定义的该木马的特征是“12345”，如果发现某文件中含有这个特征，就认为该文件是木马，而带有加密功能的壳则会对文件体进行加密(如:原先的特征是“12345”，加密后变成了“54321”，这样杀毒软件当然不能靠文件特征进行检查了)。脱壳指的就是将文件外边的壳去除，恢复文件没有加壳前的状态。

篇8：清除QQ病毒，让隐藏文件现身

地球人都知道隐藏文件在默认状态下是不显示在文件夹窗口中的，可是有朝一日我们需要使用隐藏文件时，常常会打开系统的文件夹选项设置窗口，来选中显示所有文件和文件夹，将隐藏文件重新显示在眼前，可事实上，我们有时即使选中了显示所有文件和文件夹，隐藏文件还是不肯现身，这是怎么回事呢，我们又该如何才能让隐藏文件现身呢？

其实隐藏文件不肯现身，多半是系统受到了一种名为sxs.exe病毒的攻击，该病毒的全称叫Trojan.PSW.QQPass.pqb病毒，它一般通过常用的闪盘或移动硬盘进行非法传播，该病毒的主要危害就是强行终止安装在本地系统中的防病毒软件的应用进程，降低本地计算机系统的安全等级，同时还会偷窃本地的QQ密码与帐号；一旦计算机系统不小心感染了sxs.exe病毒后，系统的每个分区根目录窗口中都会出现sxs.exe文件和autorun.inf文件，而且用鼠标双击系统分区盘符，系统没有任何反应，更为重要的是无法将系统的隐藏文件正常显示出来。

因此，当我们选中了本地系统中的显示所有文件和文件夹功能选项后，仍然无法让隐藏文件现身时，我们只要进入系统任务管理器的进程标签页面，看看系统中是否运行了svohost.exe或sxs.exe这样的服务进程，一旦看到的话，那就表明隐藏文件的确受到了sxs.exe病毒的控制。要想强行让隐藏文件现身，我们必须按照如下方法将sxs.exe病毒巧妙从系统中清除干净，

首先同时按下键盘上的Ctrl+Alt+Del复合键，打开系统的任务管理器窗口，单击该窗口中的进程标签，并在对应标签页面中选中svohost.exe或sxs.exe这样的进程，再单击结束进程按钮，这样就能将sxs.exe病毒的进程强行禁止了。

接着依次单击开始/运行命令，打开系统的运行对话框，在其中输入regedit字符串命令，单击确定按钮后，进入到本地计算机的系统注册表编辑窗口；在该编辑窗口的左侧显示窗格中，用鼠标展开HKEY_LOCAL_MACHINE分支项目，并在该分支项目下面再依次选择SOFTWARE\\Microsoft\\

Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden\\SHOWALL子项，在对应SHOWALL子项的右侧列表区域中（如图1所示），检查一下是否存在一个名为CheckedValue的双字节值。在这里大家需要留心的是，一旦计算机系统遭受到sxs.exe病毒的攻击之后，CheckedValue键值的类型很有可能被修改成字符串值类型的，这种类型的键值是根本没用的；

因此当我们看到SHOWALL子项下面不存在CheckedValue键值，或者发现该键值类型不对时，先将无用的字符串值CheckedValue删除掉，然后用鼠标右键单击SHOWALL子项右侧列表区域的空白位置处，从随后弹出的快捷菜单中依次选择新建/Dword值命令，并将刚刚创建的双字节值名称设置为CheckedValue；紧接着用鼠标双击刚刚创建好的CheckedValue双字节值，在弹出的编辑Dword值设置窗口中，将数字1直接填写在数值数据文本框中，再单击确定按钮结束设置操作，最后再将计算机系统重新启动一下；

篇9：手动清除系统内隐藏病毒文件

I、病情描述

1、无法显示隐藏文件;

2、点击C、D等盘符图标时会另外打开一个窗口;

3、用WinRAR查看时发现C、D等根目录下有autorun.inf和tel.xls.exe两个恶心的文件;

4、任务管理器中的应用进程一栏里有个莫明其妙的kill;

5、开机启动项中有莫明其妙的SocksA.exe。

II、解决办法

用了一些专杀工具和DOS下的批处理文件，都不好使，只好DIY。注意在以下整个过程中不要双击硬盘分区，需要打开时用鼠标右键—>打开。

一、关闭病毒进程

在任务管理器应用程序里面查找类似kill等你不认识的进程，右键—>转到进程，找到类似SVOHOST.exe(也可能就是某个svchost.exe)的进程，右键—>结束进程树。

二、显示出被隐藏的系统文件

开始—>运行—regedit—输入

HKEY_LOCAL_MACHINE＼Software＼Microsoft＼windows＼CurrentVersion

＼explorer＼Advanced＼Folder＼Hidden＼SHOWALL

删除CheckedValue键值，单击右键 新建—>Dword值—>命名为CheckedValue，然后修改它的键值为1，这样就可以选择“显示所有隐藏文件”和“显示系统文件”。

三、删除病毒

在分区盘上单击鼠标右键—>打开，看到每个盘跟目录下有autorun.inf 和tel.xls.exe 两个文件，将其删除，U盘同样。

四、删除病毒的自动运行项

开始—>运行—>msconfig—>启动—>删除类似sacksa.exe、SocksA.exe之类项，或者打开注册表运行regedit

HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼Run

删除类似C:＼WINDOWS＼system32＼SVOHOST.exe 的项。

五、删除遗留文件

C:＼WINDOWS＼ 跟 C:＼WINDOWS＼system32＼ 目录下删除SVOHOST.exe(注意系统有一个类似文件，图标怪异的那个类似Excel的图标的是病毒)session.exe、sacaka.exe、SocksA.exe以及所有excel类似图标的文件，每个文件夹两个，不要误删哦，自己注意。重启电脑后，基本可以了。

篇10：色素辣椒病毒病防治技术

色素辣椒病毒病防治技术

0 引言 色素辣椒病毒病的病毒是一种非细胞形态的生物,能为害各种生物.近年来,在辣椒生产上普遍发生危害,由于其侵染方式特殊,早期不为人注意,后期迅速蔓延,防治困难,常易造成大面积损失.根据我国近年鉴定结果,为害辣椒的病毒主要是黄瓜花叶病毒(CMV)与烟草花叶病毒(TMV).

作 者：张爱娟 颜咏梅 彭伟  作者单位：蔫耆县农业技术推广中心,新疆焉耆,841100 刊 名：新疆农业科技 英文刊名：XINJIANG AGRICULTURAL SCIENCE AND TECHNOLOGY 年，卷(期)： “”(3) 分类号：S4 关键词： 

篇11：隐藏

隐藏

从小我就很少有朋友,别人有许多能和他们一起玩的`小伙伴,而我只有大山、小溪、父母和一个乖巧的布娃娃.

作 者：林雪茹  作者单位： 刊 名：中学生天地 英文刊名：THE WORLD OF MIDDLE SCHOOL STUDENTS 年，卷(期)： “”(2) 分类号： 关键词： 

篇12：被病毒恶意隐藏的文件重新出现

有一些网友发现自己硬盘上的文件全被隐藏了，打开空白一片，但是查看其硬盘属性却显示空间已经在使用中，而且设置“显示隐藏的文件”也无法查看，在这种情况下如何显示隐藏的文件呢？

首先打开“任务管理器”，应该有个SVOHOST.EXE进程，把它结束掉，到C:/WINDOWS/system322里找到SVOHOST.EXE把它删除。

断开网络连接，然后打开“任务管理器”，应该有个SVOHOST.EXE进程，把它结束掉。到C:/WINDOWS/system32里找到SVOHOST.EXE把它删除。(注：系统进程是svchost.exe，第三个字母是c不是o)

执行“开始”-“运行”-输入“regedit”打开注册表，找到HKEY_LOCAL_MACHINE/Software/Microsoft/windows/CurrentVersion/explorer/Advanced/Folder/Hidden/SHOWALL中的CheckedValue，检查它的类型是否为REG_DWORD，如果不是则删掉CheckedValue，然后单击右键“新建”--〉“Dword值”，并命名为CheckedValue，然后修改它的键值为1，

删除多余文件

打开各硬盘(“我的电脑”里右键“打开”或“资源管理器”右侧选择)。通过“文件夹选项”-“查看”-选择“显示所有文件和文件夹”，并把“隐藏受保护的系统文件”复选框去除选择。

可以看到各个硬盘根目录下都有autorun.inf和sxs.exe文件，把它们都删掉。如果U盘上也有，也删掉。U盘上的可能删了又会出现，那就再检查一下“任务管理器”里有没有SOVHOST.EXE进程，把它结束掉。

这时杀毒软件应该也可以打开了。

至此，计算机恢复正常。

病毒隐藏技术病毒防治

手工清除隐藏的病毒和木马

知己知彼百战不殆木马隐藏技术批露

被隐藏的绿色说明文

SHELL病毒简介

病毒隐藏技术.doc

将本文的Word文档下载到电脑，方便收藏和打印

推荐度：

点击下载文档