做削骨手术要多少钱:注册表编辑器是不是可以杀掉所有的病毒

当然不行，否则还要杀毒软件干嘛？你说呢？

不是的，你只有用最新的杀毒程序才可以杀毒

不是！～注册表归注册表。。

什么是注册表 什么是病毒 你了解了这两点应该就明白了

一、计算机病毒的定义

计算机病毒(computer Virus)在 <中华人民共和国计算机信息系统安全保护条例>中被明确定义为：”指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”．

二、计算机病毒的特点

人为的特制程序，具有自我复制能力，很强的感染性，一定的潜伏性，特定的触发性，很大的破坏性．

三、病毒存在的必然性

计算机的信息需要存取，复制，传送，病毒作为信息的一种形式可以随之繁殖，感染，破坏．并且，当病毒取得控制权之后，他们会主动寻找感染目标，使自己广为流传．

四、计算机病毒的长期性

计算机操作系统的弱点往往是被病毒利用，提高系统的安全性是防病毒的一个重要方面，但完美的系统是不存在的．提高一定的安全性将使系统多数时间用于病毒检查，系统失去了可用性与实用性，另一方面，信息保密的要求让人在泄密和抓住病毒之间无法选择．

这样，病毒与反病毒将成为一个长期的技术对抗．病毒主要由反病毒软件来对付，而且反病毒技术将成为一种长期的科研做下去．

五、计算机病毒的产生

病毒不是来源于突发或偶然的原因．一次突发的停电和偶然的错误，会在计算机的磁盘和内存中产生一些乱码和随机指令，但这些代码是无序和混乱的．病毒则是一种比较完美的，精巧严谨的代码，按照严格的秩序组织起来，与所在的系统网络环境相适应和配合起来，病毒不会通过偶然形成，并且需要有一定的长度，这个基本的长度从概率上来讲是不可能通过随机代码产生的．病毒是人为的特制程序现在流行的病毒是由人为故意编写的，多数病毒可以找到作者信息和产地信息，通过大量的资料分析统计来看，病毒作者主要情况和目的是：一些天才的程序员为了表现自己和证明自己的能力，处于对上司的不满，为了好奇，为了报复，为了祝贺和求爱，为了得到控制口令，为了软件拿不到报酬预留的陷阱等．当然也有因政治，军事，宗教，民族．专利等方面的需求而专门编写的，其中也包括一些病毒研究机构和黑客的测试病毒．

六、计算机病毒分类

根据多年对计算机病毒的研究，按照科学的，系统的，严密的方法，计算机病毒可分类如下：

按照计算机病毒属性的分类

计算机病毒可以根据下面的属性进行分类：

1.病毒存在的媒体

根据病毒存在的媒体，病毒可以划分为网络病毒，文件病毒，引导型病毒。网络病毒通过计算机网络传播感染网络中的可执行文件，文件病毒感染计算机中的文件（如：COM，EXE，DOC等），引导型病毒感染启动扇区（Boot）和硬盘的系统引导扇区（MBR），还有这三种情况的混合型，例如：多型病毒（文件和引导型）感染文件和引导扇区两种目标，这样的病毒通常都具有复杂的算法，它们使用非常规的办法侵入系统，同时使用了加密和变形算法．

2.病毒传染的方法

根据病毒传染的方法可分为驻留型病毒和非驻留型病毒，驻留型病毒感染计算机后，把自身的内存驻留部分放在内存（RAM）中，这一部分程序挂接系统调用并合并到操作系统中去,他处于激活状态,一直到关机或重新启动.非驻留型病毒在得到机会激活时并不感染计算机内存,一些病毒在内存中留有小部分,但是并不通过这一部分进行传染,这类病毒也被划分为非驻留型病毒.

3.病毒破坏的能力

根据病毒破坏的能力可划分为以下几种：

无害型

除了传染时减少磁盘的可用空间外，对系统没有其它影响。

无危险型

这类病毒仅仅是减少内存、显示图像、发出声音及同类音响。

危险型

这类病毒在计算机系统操作中造成严重的错误。

非常危险型

这类病毒删除程序、破坏数据、清除系统内存区和操作系统中重要的信息。

这些病毒对系统造成的危害，并不是本身的算法中存在危险的调用，而是当它们传染时会引起无法预料的和灾难性的破坏。由病毒引起其它的程序产生的错误也会破坏文件和扇区，这些病毒也按照他们引起的破坏能力划分。一些现在的无害型病毒也可能会对新版的DOS、Windows和其它操作系统造成破坏。例如：在早期的病毒中，有一个“Denzuk”病毒在360K磁盘上很好的工作，不会造成任何破坏，但是在后来的高密度软盘上却能引起大量的数据丢失。

4.病毒特有的算法

根据病毒特有的算法，病毒可以划分为：

伴随型病毒

这一类病毒并不改变文件本身，它们根据算法产生EXE文件的伴随体，具有同样的名字和不同的扩展名（COM），例如：XCOPY.EXE的伴随体是XCOPY.COM。病毒把自身写入COM文件并不改变EXE文件，当DOS加载文件时，伴随体优先被执行到，再由伴随体加载执行原来的EXE文件。

“蠕虫”型病毒

通过计算机网络传播，不改变文件和资料信息，利用网络从一台机器的内存传播到其它机器的内存，计算网络地址，将自身的病毒通过网络发送。有时它们在系统存在，一般除了内存不占用其它资源。

寄生型病毒

除了伴随和“蠕虫”型，其它病毒均可称为寄生型病毒，它们依附在系统的引导扇区或文件中，通过系统的功能进行传播，按算法分为：

练习型病毒

病毒自身包含错误，不能进行很好的传播，例如一些病毒在调试阶段。

诡秘型病毒

它们一般不直接修改DOS中断和扇区数据，而是通过设备技术和文件缓冲区等DOS内部修改，不易看到资源，使用比较高级的技术。利用DOS空闲的数据区进行工作。

变型病毒（又称幽灵病毒）

这一类病毒使用一个复杂的算法，使自己每传播一份都具有不同的内容和长度。它们一般的作法是一段混有无关指令的解码算法和被变化过的病毒体组成。

七、计算机病毒的发展

在病毒的发展史上，病毒的出现是有规律的，一般情况下一种新的病毒技术出现后，病毒迅速发展，接着反病毒技术的发展会抑制其流传。操作系统进行升级时，病毒也会调整为新的方式，产生新的病毒技术。它可划分为：

1.DOS引导阶段

1987年，计算机病毒主要是引导型病毒，具有代表性的是“小球”和“石头”病毒。

当时得计算机硬件较少,功能简单,一般需要通过软盘启动后使用.引导型病毒利用软盘得启动原理工作,它们修改系统启动扇区,在计算机启动时首先取得控制权,减少系统内存,修改磁盘读写中断,影响系统工作效率,在系统存取磁盘时进行传播.1989年,引导型病毒发展为可以感染硬盘,典型的代表有”石头2”.

2.DOS可执行阶段

1989年,可执行文件型病毒出现,它们利用DOS系统加载执行文件的机制工作,代表为”耶路撒冷”,”星期天”病毒,病毒代码在系统执行文件时取得控制权,修改DOS中断,在系统调用时进行传染,并将自己附加在可执行文件中,使文件长度增加.1990年,发展为复合型病毒,可感染COM和EXE文件.

3伴随,批次型阶段

1992年,伴随型病毒出现,它们利用DOS加载文件的优先顺序进行工作.具有代表性的是”金蝉”病毒,它感染EXE文件时生成一个和EXE同名的扩展名为COM伴随体;它感染COM文件时,改为原来的COM文件为同名的EXE文件,在产生一个原名的伴随体,文件扩展名为COM.这样,在DOS加载文件时,病毒就取得控制权.这类病毒的特点是不改变原来的文件内容,日期及属性,解除病毒时只要将其伴随体删除即可.在非DOS操作系统中,一些伴随型病毒利用操作系统的描述语言进行工作,具有典型代表的是”海盗旗”病毒,它在得到执行时,询问用户名称和口令,然后返回一个出错信息,将自身删除.批次型病毒是工作在DOS下的和”海盗旗”病毒类似的一类病毒.

4 幽灵,多形阶段

1994年,随着汇编语言的发展,实现同一功能可以用不同的方式进行完成,这些方式的组合使一段看似随机的代码产生相同的运算结果.幽灵病毒就是利用这个特点,每感染一次就产生不同的代码.例如”一半”病毒就是产生一段有上亿种可能的解码运算程序,病毒体被隐藏在解码前的数据中,查解这类病毒就必须能对这段数据进行解码,加大了查毒的难度.多形型病毒是一种综合性病毒,它既能感染引导区又能感染程序区,多数具有解码算法,一种病毒往往要两段以上的子程序方能解除.

5 生成器,变体机阶段

1995年,在汇编语言中,一些数据的运算放在不同的通用寄存器中,可运算出同样的结果,随机的插入一些空操作和无关指令,也不影响运算的结果,这样,一段解码算法就可以由生成器生成.当生成的是病毒时,这种复杂的称之为病毒生成器和变体机就产生了.具有典型代表的是”病毒制造机”VCL,它可以在瞬间制造出成千上万种不同的病毒,查解时就不能使用传统的特征识别法,需要在宏观上分析指令,解码后查解病毒.变体机就是增加解码复杂程度的指令生成机制.

6 网络,蠕虫阶段

1995年,随着网络的普及,病毒开始利用网络进行传播,它们只是以上几代病毒的改进.在非DOS操作系统中,”蠕虫”是典型的代表,它不占用除内存以外的任何资源,不修改磁盘文件,利用网络功能搜索网络地址,将自身向下一地址进行传播,有时也在网络服务器和启动文件中存在.

7 视窗阶段

1996年,随着Windows和Windows95的日益普及,利用Windows进行工作的病毒开始发展,它们修改(NE,PE)文件,典型的代表是DS.3873,这类病毒的急智更为复杂,它们利用保护模式和API调用接口工作,解除方法也比较复杂.

8 宏病毒阶段

1996年,随着Windows Word功能的增强,使用Word宏语言也可以编制病毒,这种病毒使用类Basic语言,编写容易,感染Word文档文件.在Excel和AmiPro出现的相同工作机制的病毒也归为此类.由于Word文档格式没有公开,这类病毒查解比较困难.

9 互连网阶段

1997年,随着因特网的发展,各种病毒也开始利用因特网进行传播,一些携带病毒的数据包和邮件越来越多,如果不小心打开了这些邮件,机器就有可能中毒.

10 爪哇,邮件炸弹阶段

1997年,随着万维网上Java的普及,利用Java语言进行传播和资料获取的病毒开始出现,典型的代表是JavaSnake病毒。还有一些利用邮件服务器进行传播和破坏的病毒，例如Mail-Bomb病毒，它就严重影响因特网的效率。

八、计算机病毒的破坏行为

计算机病毒的破坏行为体现了病毒的杀伤能力。病毒破坏行为的激烈程度取决于病毒作者的主观愿望和他所具有的技术能量。数以万计、不断发展扩张的病毒，其破坏行为千奇百怪，不可能穷举其破坏行为，难以做全面的描述。根据有的病毒资料可以把病毒的破坏目标和攻击部位归纳如下：

1.攻击系统数据区，攻击部位包括：

硬盘主引寻扇区、Boot扇区、FAT表、文件目录

一般来说，攻击系统数据区的病毒是恶性病毒，受损的数据不易恢复。

2.攻击文件

病毒对文件的攻击方式很多，可列举如下：

删除、改名、替换内容、丢失部分程序代码、内容颠倒、写入时间空白、变碎片、假冒文件、丢失文件簇、丢失数据文件。

3.攻击内存

内存是计算机的重要资源，也是病毒的攻击目标。病毒额外地占用和消耗系统的内存资源，可以导致一些大程序受阻。

病毒攻击内存的方式如下：

占用大量内存、改变内存总量、禁止分配内存、蚕食内存。

4.干扰系统运行

病毒会干扰系统的正常运行，以此做为自己的破坏行为。此类行为也是花样繁多，可以列举下述诸方式：

不执行命令、干扰内部命令的执行、虚假报警、打不开文件、内部栈溢出、占用特殊数据区、换现行盘、时钟倒转、重启动、死机、强制游戏、扰乱串并行口。

5.速度下降

病毒激活时，其内部的时间延迟程序启动。在时钟中纳入了时间的循环计数，迫使计算机空转，计算机速度明显下降。

6.攻击磁盘

攻击磁盘数据、不写盘、写操作变读操作、写盘时丢字节。

7.扰乱屏幕显示

病毒扰乱屏幕显示的方式很多，可列举如下：

字符跌落、环绕、倒置、显示前一屏、光标下跌、滚屏、抖动、乱写、吃字符。

8.键盘

病毒干扰键盘操作，已发现有下述方式：

响铃、封锁键盘、换字、抹掉缓存区字符、重复、输入紊乱。

9.喇叭

许多病毒运行时，会使计算机的喇叭发出响声。有的病毒作者让病毒演奏旋律优美的世界名曲，在高雅的曲调中去杀戮人们的信息财富。有的病毒作者通过喇叭发出种种声音。已发现的有以下方式：

演奏曲子、警笛声、炸弹噪声、鸣叫、咔咔声、嘀嗒声

10.攻击CMOS

在机器的CMOS区中，保存着系统的重要数据。例如系统时钟、磁盘类型、内存容量等，并具有校验和。有的病毒激活时，能够对CMOS区进行写入动作，破坏系统CMOS中的数据。

11.干扰打印机

假报警、间断性打印、更换字符。]

九、计算机病毒的危害性

1998年11月2日下午5时1分59秒，美国康奈尔大学的计算机科学系研究生，23岁的莫里斯（Morris）将其编写的蠕虫程序输入计算机网络。在几小时内导致因特网堵塞。这个网络连接着大学、研究机关的155000台计算机，使网络堵塞，运行迟缓。这件事就像是计算机界的一次大地震，引起了巨大反响，震惊全世界，引起了人们对计算机病毒的恐慌，也使更多的计算机专家重视和致力于计算机病毒研究。

注册表的内部组织结构及相互关系
计算机配置和缺省用户设置的注册表数据在Windows NT中被保存在下面这五个文件中：DEFAULT，SAM，SECURITY，SOFTWARE，SYSTEM，NTUSER.DAT。而 Windows9x/Me/2000将所有注册表文件存入2个文件中：System.dat和User.dat。它们是二进制文件，不能用文本编辑器查看。它们存在于Windows目录下，具有隐含、系统、只读属性。 System.dat包含了计算机特定的配置数据，User.dat包含了用户特定的数据。User.dat文件的位置在以某个用户名登录时，其位于C:\Windows\profiles\用户名目录下，系统同时在C:\Windows目录下保留了一个缺省的User.dat文件，以备新用户使用。内部组织结构是一个类似于目录管理的树状分层的结构。
WINDOWS的注册表有六大根键，相当于一个硬盘被分成了六个分区。

在“运行”对话框中输入RegEdit，然后单击“确定”按钮，则可以运行注册表编辑器。

左窗格显示的是注册表的根键，这样的根键共六个。这些根键都是大写的,并以HKEY_为前缀,这种命令约定是以Win32 API的Registry函数的关键字的符号变量为基础的。

虽然在注册表中，六个根键看上去处于一种并列的地位，彼此毫无关系。但事实上，HKEY_CLASSES_ROOT和HKEY_CURRENT_CONFIG中存放的信息都是HKEY_LOCAL_MACHINE中存放的信息的一部分，而HKEY_CURRENT_USER中存放的信息只是HKEY_USERS存放的信息的一部分。HKEY_LOCAL_MACHINE包括HKEY_CLASSES_ROOT和HKEY_CURRENT_USER中所有的信息。在每次系统启动后，系统就映射出HKEY_CURRENT_USER中的信息，使得用户可以查看和编辑其中的信息。

实际上，HKEY_LOCAL_MACHINE\SOFTWARE\Classes就是HKEY_CLASSES_ROOT，为了用户便于查看和编辑，系统专门把它作为一个根键。同理，HKEY_CURRENT_CONFIG\SY-STEM\Current Control就是HKEY_LOCAL_MACHINE\SYSTEM\Current Control。

HKEY_USERS中保存了默认用户和当前登录用户的用户信息。HKEY_CURRENT_USER中保存了当前登录用户的用户信息。

HKEY_DYN_DATA保存了系统运行时的动态数据，它反映出系统的当前状态，在每次运行时都是不一样的，即便是在同一台机器上。

根据上面的分析，注册表中的信息可以分为HKEY_LOCAL_MACHINE和HKEY_USERS两大类，这两大类的详细内容请看后面的介绍。

六大根键的作用
注册表采用“关键字”及其“键值”来描述登录项及其数据。所有的关键字都是以“HKEY”作为前缀开头。打个比喻来说，关键字更象Windows9X下的浏览器里的目录下的文件，每个文件都会有自己特有的内容和属性。我们可以在注册表编辑器下很方便地添加、修改、查询和删除注册表的每一个关键字。关键字可以分为两类：一类是由系统定义，一般叫做“预定义关键字”；另一类是由应用程序定义的，根据应用软件的不同，登录项也就不同。在注册表中，所有的数据都是通过一种树状结构以键和子键的方式组织起来，十分类似于目录结构。每个键都包含了一组特定的信息，每个键的键名都是 和它所包含的信息相关的。如果这个键包含子键，则在注册表编辑器窗口中代表这个键的文件夹的左边将有“＋”符号，以表示在这个文件夹中有更多的内容。如果这个文件夹被用户打开了，那么这个“＋”就会变成“－”。 下面我们对系统预定义的六大根键简单地介绍一下。
1.HKEY_USERS

该根键保存了存放在本地计算机口令列表中的用户标识和密码列表，即用户设置。每个用户的预配置信息都存储在HKEY_USERS根键中。HKEY_USERS是远程计算机中访问的根键之一。其内容取决于计算机是否激活了用户配置文件，若未激活用户配置文件，则可以看到称为.DEFAULT的单一子键，该子键包括和所有用户相关的各种设置，并且和\Windows下的USER.DAT文件相配合。若激活了用户配置文件并且正确地执行了登录，则还有一个“用户名”的子键，该用户名为用户登录的名称。

2.HKEY_CURRENT_USER

该根键包含本地工作站中存放的当前登录的用户信息,包括用户登录用户名和暂存的密码(注：此密码在输入时是隐藏的)。用户登录Windows 98时，其信息从HKEY_USERS中相应的项拷贝到HKEY_CURRENT_USER中。HKEY_CURRENT_USER下面有7个子关键字。其中除RemoteAccess”外，其余6个都为系统预定义。

AppEvents 这个子键里登记已注册的各种应用事件。

ControlPanel 它里面涉及到控制面板设置有关的内容。

InstallLocationsMRU windows安装路径的有关信息。

Keyboardlayout 关于键盘设置的信息。

Network 有关网络设置的信息。

RemoteAccess 安装IE 时建立的子关键字，包含该应用程序的有关信息。

Software 软件的有关信息。

3.HKEY_CURRENT_CONFIG

该根键存放着定义当前用户桌面配置(如显示器等)的数据,最后使用的文档列表（MRU）和其他有关当前用户的Windows 98中文版的安装的信息。

4.HKEY_CLASSES_ROOT

该键由多个子键组成，具体可分为两种：一种是已经注册的各类文件的扩展名，另一种是各种文件类型的有关信息。左栏中的子键就是各种已经注册的文件扩展名。 注册表内己经登记的文件扩展名中，有系统默认和应用程序自定义的扩展名。应用程序只有把自定义的扩展名在注册表中登记，系统才能识别和关联使用有关的文档，但只有经过注册的扩展名，系统才能自动关联。根据在Windows 98中文版中安装的应用程序的扩展名,该根键指明其文件类型的名称。

在第一次安装Windows 98中文版时,RTF(Rich Text Format)文件与写字板(WordPad)联系起来,但在以后安装了中文Word 6.0后,双击一个RTF文件时，将自动激活Word。存放在SYSTEM.DAT中的HKEY_CLASSES_ROOT,将替代WIN.INI文件中的[Extensions]小节中的设置项,它把应用程序与文件扩展名联系起来,它也替代了Windows 3.x中的Reg.dat文件中的相似的设置项。

5.HKEY_LOCAL_MACHINE

注册表的核心，计算机的各种硬件和软件的配置均存在于此。它包括以下八个部分：Config配置、Driver驱动程序、Enum即插即用、Hardware硬件、Network网络、Security安全、Software软件、System系统。每部分中又包括许多子键。该根键存放本地计算机硬件数据,此根键下的子关键字包括在SYSTEM.DAT中,用来提供HKEY_LOCAL_MACHINE所需的信息,或者在远程计算机中可访问的一组键中。该根键中的许多子键与System.ini文件中设置项类似。

6.HKEY_DYN_DATA

该根键存放了系统在运行时动态数据，此数据在每次显示时都是变化的，因此，此根键下的信息没有放在注册表中。

如何恢复注册表？

注册表中存放着计算机软硬件的配置信息，病毒、网页恶意代码往往要修改注册表，平时安装、操作软件也会使注册表内容发生变化。当计算机工作不正常时，往往可以通过恢复注册表来修复。所以，平时我们应经常备份注册表(运行regedit，导出注册表文件)。这样，需要时就可以导入过去某个备份，使电脑恢复正常。
如果平时没有导出注册表，则只好通过运行 scanreg /restore来恢复注册表，或运行scanreg
/fix来修复注册表。不过该命令应该在DOS下执行。对于win98系统，开机时按F8，选择Command Prompt
Only进入DOS；对于WinMe系统，则可以运行Command进入DOS。当然，也可以用软盘引导系统，进入C:\windows\command子目录，然后执行上述修复注册表的命令。
目前网页恶意代码最可恶的破坏行为之一是在注册表中禁止了程序运行。此时因IE无法运行，不能使用在线自动修复；且“微机数据维护”等修复软件也不能运行；同样也不能导入注册表文件来修复注册表。此时唯一的办法就是在DOS下运行C:\windows
scanreg /restore来修复注册表。

从计算机病毒的发展趋势来看，蠕虫和木马类的病毒越来越多。与普通感染可执行文件的文件型病毒不同，此类程序通常不感染正常的系统文件，而是将自身作为系统的一部分安装到系统中。相对来说，此类病毒的隐蔽性更强一些，更不容易被使用者发觉。

但是无论什么样的病毒程序在感染系统时都会留下一些蛛丝马迹。在此我们总结一下各种病毒可能会更改的地方，以便能够更快速地找到它们。

一、更改系统的相关配置文件。这种情况主要是针对95/98系统。

病毒可能会更改autoexec.bat，只要在其中加入执行病毒程序文件的语句即可在系统启动时自动激活病毒。*更改drive:\windows\win.ini或者system.ini文件。病毒通常会在win.ini的“run=”后面加入病毒自身的文件名，或者在system.ini文件中将“shell=”更改。

二、更改注册表健值。 各种win系统适用

目前，只要新出的蠕虫/特洛伊类病毒一般都有修改系统注册表的动作。它们修改的位置一般有以下几个地方：

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\

说明：在系统启动时自动执行的程序

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\

说明：在系统启动时自动执行的系统服务程序

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\

说明：在系统启动时自动执行的程序，这是病毒最有可能修改/添加的地方。 例如：Win32.Swen.B病毒将增加：HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ucfzyojza= "cxsgrhcl.exe autorun"

HKEY_CLASSES_ROOT\exefile\shell\open\command

说明：此键值能使病毒在用户运行任何EXE程序时被运行，以此类推，..\txtfile\.. 或者 ..\comfile\.. 也可被更改，以便实现病毒自动运行的功能。

另外，有些健值还可能被利用来实现比较特别的功能：

有些病毒会通过修改下面的键值来阻止用户查看和修改注册表：

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\

System\DisableRegistryTools =

为了阻止用户利用.REG文件修改注册表键值，以下键值也会被修改来显示一个内存访问错误窗口

例如：Win32.Swen.B 病毒 会将缺省健值修改为：

HKCR\regfile\shell\open\command\(Default) = "cxsgrhcl.exe showerror"

通过对以上地方的修改，病毒程序主要达到的目的是在系统启动或者程序运行过程中能够自动被执行，已达到自动激活的目的。

清除病毒文件的同时往往需要同时清理注册表 但是注册表并不具有杀毒功能

再者很多病毒并不一定要在注册表里做文章（但是大多数病毒会在注册表里做文章的）