1.就是用BHO注入式
2.用SVCHOST或EXPLOYER来调,冒充WINDOWS的进程。因为SVCHOST之类是系统进程。
不大熟注册表的,用Hijack This查BHO和自启动RUN和Global Startup很方便。看到可疑的,即使不熟悉,Google一下,删了也就删了,删的时候是自动备份的,删错了也能恢复。
SVCHOST和EXPLOYER之类的,用ProcessExplorer来查最方便。或者进Windows的Service Manager里看也可以。如果本机不运行服务的,最好还把Windows的PRC关掉。很多木马靠PRC来调的。
Icesword相当不错,运行在ring3,任何文件都可以删。