对联式悲哀

强烈建议打开杀毒软件主动防御的注册表监控功能
最近很多病毒轻易就放倒杀毒软件，基本上都是靠的映像劫持（IFEO hijack）

关于什么是映像劫持（IFEO hijack），
最白痴的讲就是通过修改注册表，让你去运行的A.exe的时候暗地里变成去运行B.exe
被映像劫持之后的杀毒软件，你运行它实际上却是运行别的程序，甚至病毒的主程序...

中招以后，最常见的症状就是杀毒软件启动不了
最近几天看log，发现病毒的IFEO hijack涵盖了各主流杀毒软件以及安全工具
卡巴、瑞星、金山、360、超级兔子、冰刃等等等等
另外还有好多病毒喜欢劫持输入法
所以也会造成无法切换到中文输入法，只能打英文

至于映像劫持的原理，
可以参考http://blogs.msdn.com/greggm/archive/2005/02/21/377663.aspx
更多关于IFEO（Image File Execution Options）的资料，
可以参考http://blogs.msdn.com/junfeng/archive/2004/04/28/121871.aspx
或者自行Google...

对于病毒的映像劫持，其实并不是杀毒软件防不住，
例如卡巴斯基注册表监控规则项System startup组里面明明就有规则可以拦截
只不过在默认设置下该功能没有启用...
不过卡巴的注册表监控规则实在太详细，
开了之后警告提示太多，需要用户对注册表有一定了解

风云防火墙的注册表监控稍微好一点，规则没那么多，
但是初始规则里并没有监控映像劫持项，需要手动添加规则，监控
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\*]
下所有键值的新建和修改，碰到debugger什么的一律拦下来，应该就可以了

其他软件的注册表监控我没用过，不知道怎么样，
不过现在主流的安全工具基本上都具有监控注册表的功能
只要检查注册表监控的规则，确保上述的那个主键在监控之下，
就不用担心被病毒映像劫持了。

==========注册表监控很重要的分割线==========

另外关于注册表监控，突然想起来，
用360安全卫士查杀木马/删除恶意插件的时候
每次它都会自作主张的把
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
下的<AppInit_DLLs>键，还有
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
下的<load>键，这两个键直接删除掉。
但实际上正常的系统中都存在这二者，只是默认的键值为空。

<load>的应用我不太清楚，但是有些杀毒软件也会用到<AppInit_DLLs>（比如瑞星）
所以MaaJiaa不建议删除这两个键...
（不过据说瑞星默认就开着注册表监控，能拦截这两项的修改？）
以防万一，大家用360清理的时候还是把杀毒软件的注册表监控开着吧，
或者事先导出备份这两个主键也行...
至于真的中了利用这两个键加载的病毒和木马，
手动修改键值把病毒和木马加载的那些dll删除即可。

P.S. 其实通常情况下这两个键被删掉也没太大关系，不然360也不会二话不说就删了。