speedtime.7夜

如何让病毒现身以一个最简单的AUTORUN病毒为例，基本文件是由一个autorun.inf文件和1个或几个病毒主程序构成，都是+r（只读） +s（系统） +h（隐藏）属性，既然是系统隐藏文件，我们普通的打开隐藏文件是看不倒的，我们要去掉“隐藏受保护的系统文件”选项，选中显示所有隐藏文件，之后才能看倒。当然前提是“显示隐藏”没有被屏蔽。





打不开隐藏稍微做手脚的病毒会修改注册表让我们打不开隐藏文件，刚才的文件夹选项-查看-显示全部文件 这个操作是无效的。我们只要把注册表中的限制改回就可以解决这个问题。在注册表中[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]\CheckedValue的值被改为0了，现在我们改回1。 就可以解除屏蔽了。（这步操作的前提是注册表编辑器没有被屏蔽，稍后我们会分享各种工具被屏蔽后的解除和还原）



(补充一点，大家注意CheckedValue这个键类型是DWORD而不是SZ字符串，病毒会做出这样的手脚，创造一个SZ键迷惑我们，改完之后还是达不到目的，是因为这个键如果是字符串的话是没有任何意义的，如果发现自己的这个键值是SZ的话把这个删除，重新建一个DWORD键，键值数据1 。） 杀手锏路永远不只一条，没有绝对的安全，同样也没有绝对的封锁。 CMD永远是一把利器，我们用attrib命令强行修改病毒文件属性，逼病毒现身。安全起见，我们先把autorun.inf文件搞出来，然后看看它引导的病毒文件路径文件名，一步步解开庐山真面目。这样做稳妥安全，不伤害正常系统文件，但可能会有病毒遗漏（不会被激活了），适合在系统盘根目录下操作。在非系统盘根目录下，我们可以直接"attrib -r -s -h *” 去掉所有文件属性。这样所有文件都会现身了。然后我们就可以再返回来找系统盘下遗漏的病毒程序了。

在野

你说的一切都将无效
病毒是监视着你的
你改 后她立马 改 回