木馬檢測

如何判斷手機是否有木馬?

病毒查殺默認開啟。隨時全盤掃描設備，輕松查殺隱藏病毒，凈化使用環境。

1.查看手機安全狀態

進入手機管家，點擊病毒查殺，可查看設備當前的安全狀態。

2.開啟或關閉聯網病毒查殺

進入手機管家>齒輪按鈕，點擊防病毒軟件更新和聯網查殺，選擇以下任一狀態：

僅 WLAN 下

所有網絡下

您也可選擇關閉來禁用此功能。

六招教你檢測是否中病毒木馬介紹

　　六招教你如何檢測病毒木馬，趕緊來學學哦!下面由我給你做出詳細的六招教你檢測病毒介紹!希望對你有幫助!

　　六招教你檢測病毒木馬介紹：

　　六招教你檢測病毒木馬一、進程

　　首先排查的就是進程了， 方法 簡單，開機后，什么都不要啟動!

　　第一步：直接打開任務管理器(計算機 愛好 者，學習計算機基礎， 電腦入門 ，請到本站http://www.woaidiannao.com，我站同時提供計算機基礎知識教程，計算機基礎知識試題供大家學習和使用)，，查看有沒有可疑的進程，不認識的進程可以Google或者百度一下。

　　PS：如果任務管理器打開后一閃就消失了，可以判定已經中毒;如果提示已經被管理員禁用，則要引起警惕!

　　第二步：打開冰刃等軟件，先查看有沒有隱藏進程(冰刃中以紅色標出)，然后查看系統進程的路徑是否正確。

　　PS：如果冰刃無法正常使用，可以判定已經中毒;如果有紅色的進程，基本可以判斷已經中毒;如果有不在正常目錄的正常系統進程名的進程，也可以判斷已經中毒。

　　第三步：如果進程全部正常，則利用Wsyscheck等工具，查看是否有可疑的線程注入到正常進程中。

　　PS：Wsyscheck會用不同顏色來標注被注入的進程和正常進程，如果有進程被注入，不要著急，先確定注入的模塊是不是病毒，因為有的殺軟也會注入進程。

　　六招教你檢測病毒木馬二、自啟動項目

　　進程排查完畢，如果沒有發現異常，則開始排查啟動項。

　　第一步：用msconfig察看是否有可疑的服務，開始，運行，輸入“msconfig”，確定，切換到服務選項卡，勾選“隱藏所有 Microsoft 服務”復選框，然后逐一確認剩下的服務是否正常(可以憑 經驗 識別，也可以利用搜索引擎)。

　　PS：如果發現異常，可以判定已經中毒;如果msconfig無法啟動，或者啟動后自動關閉，也可以判定已經中毒。

　　第二步：用msconfig察看是否有可疑的自啟動項，切換到“啟動”選項卡，逐一排查就可以了。

　　第三步，用Autoruns等，查看更詳細的啟動項信息(包括服務、驅動和自啟動項、IEBHO等信息)。

　　PS：這個需要有一定的經驗。

　　六招教你檢測病毒木馬三、網絡連接

　　ADSL用戶，在這個時候可以進行虛擬撥號，連接到Internet了。

　　然后直接用冰刃的網絡連接查看，是否有可疑的連接，對于IP地址，可以到相關網站查詢，對應的進程和端口等信息可以到Google或百度查詢。

　　如果發現異常，不要著急，關掉系統中可能使用網絡的程序(如迅雷等下載軟件、殺毒軟件的自動更新程序、IE瀏覽器等)，再次查看網絡連接信息。

　　六招教你檢測病毒木馬四、安全模式

　　重啟，直接進入安全模式，如果無法進入，并且出現 藍屏 等現象，則應該引起警惕，可能是病毒入侵的后遺癥，也可能病毒還沒有清除!

　　六招教你檢測病毒木馬五、映像劫持

　　打開注冊表編輯器，定位到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options，查看有沒有可疑的映像劫持項目，如果發現可疑項，很可能已經中毒。

　　六招教你檢測病毒木馬六、CPU時間

　　如果開機以后，系統運行緩慢，還可以用CPU時間做參考，找到可疑進程，方法如下：

　　打開任務管理器，切換到進程選項卡，在菜單中點“查看”，“選擇列”，勾選“CPU時間”，然后確定，單擊CPU時間的標題，進行排序，尋找除了System Idle Process和SYSTEM以外，CPU時間較大的進程，這個進程需要一起一定的警惕。

怎么識別手機是否有木馬病毒

可以通過安裝安全軟件來排查手機中的木馬病毒。

一般來說，手機木馬是否存在于你的周圍，源于你平時對于網絡安全的重視和警惕。

1.木馬病毒具有一定的隱蔽性，因此一般來說需要使用殺毒軟件或者手機自帶的安全中心進行掃描。

2.任何一款殺毒軟件都會因為查殺引擎，病毒庫樣本數量影響對未知病毒的判斷，因此掃描結果只是相對的。

3.日常上網遇到陌生鏈接不要隨便點擊，下載app盡可能前往官網。

4.手機權限不要隨便提供給軟件，例如imei，gps定位，這些可能會影響到使用的隱私安全，特別是root，root權限相當于手機令牌，軟件一旦惡意使用，手機會變得非常危險。

木馬防范。

1、檢測和尋找木馬隱藏的位置。

木馬侵入系統后，需要找一個安全的地方選擇適當時機進行攻擊，了解和掌握木馬藏匿位置，才能最終清除木馬。木馬經常會集成到程序中、藏匿在系統中、偽裝成普通文件或者添加到計算機操作系統中的注冊表中，還有嵌入在啟動文件中，一旦計算機啟動，這些木馬程序也將運行。

2、防范端口。

檢查計算機用到什么樣的端口，正常運用的是哪些端口，而哪些端口不是正常開啟的；了解計算機端口狀態，哪些端口目前是連接的，特別注意這種開放是否是正常；查看當前的數據交換情況，重點注意哪些數據交換比較頻繁的，是否屬于正常數據交換。關閉一些不必要的端口。

怎么檢查電腦是否有木馬

　　一、通過啟動文件檢測木馬

　　一旦電腦中了木馬，則在電腦開機時一般都會自動加載木馬文件，由于木馬的隱藏性比較強，在啟動后大部分木馬都會更改其原來的文件名；

　　如果用戶對電腦的啟動文件非常熟悉，則可以從Windows系統自動加載文件中分析木馬的存在并清除木馬，這種方式是最有效、最直接的檢測木馬方式；

　　但是，由于木馬自動加載的方法和存放的文職比較多，這種方法對于不太懂電腦的人來說比較有難度。

　　二、通過進程檢測木馬

　　由于木馬也是一個應用程序，一旦運行，就會在電腦系統的內存中駐留進程。因此，我們可以通過系統自帶的【Windows 任務管理器】來檢測系統中是否存在木馬進程；

　　在Windows系統中，按下【Ctrl+Alt+Delete】組合鍵，打開【Windows任務管理器】窗口，選擇【進程】選項卡，查看列表 中是否存在可以的木馬程序；

　　如果存在可疑進程，選中此進程并右擊，從彈出的快捷菜單中選擇【結束進程】即可結束詞進程；

　　【Windows進程管理器】的主界面看下面的圖；

　　在列表中選擇其中一個進程選項之后，單擊【描述】按鈕，即可看到該進程的詳細信息；

　　在進程列表中右擊某個進程在其中可以對進程進行結束、暫停、查看屬性、刪除文件等操作。

　　三、通過網絡連接檢測木馬

　　木馬的運行通常是通過網絡連接實現的，因此，用戶可以通過分析網絡連接來推測木馬是否存在，最簡單的辦法是利用Windows自帶的Netstat命令；

　　選擇“開始”-“運行”菜單項，打開“運行”對話框，單擊“確定”按鈕，打開“命令提示符”窗口；

　　在“命令提示符”窗口中輸入“netstat -a”，按“Enter”鍵，在其運行結果中查看有哪些可以的運行程序來判斷木馬文件。

　　注意：

　　參數“-a”的作用是顯示計算機中目前所有處于監聽狀態的端口。

　　如果出現不明端口處于監聽狀態，而且前又沒有進行任何網絡服務的操作，則在監聽該端口的很有可能是木馬。

木馬的檢測

木馬的檢測、清除與防范
來源：CNCERT/CC廣東分中心編寫

木馬程序不同于病毒程序，通常并不象病毒程序那樣感染文件。木馬一般是以尋找后門、
竊取密碼和重要文件為主，還可以對電腦進行跟蹤監視、控制、查看、修改資料等操作，具有很強的隱蔽性、
突發性和攻擊性。由于木馬具有很強的隱蔽性，用戶往往是在自己的密碼被盜、
機密文件丟失的情況下才知道自己中了木馬。在這里將介紹如何檢測自己的機子是否中了木馬，
如何對木馬進行清除和防范。

木馬檢測

1、查看開放端口

當前最為常見的木馬通常是基于TCP/UDP協議進行Client端與Server端之間的通訊的，
這樣我們就可以通過查看在本機上開放的端口，看是否有可疑的程序打開了某個可疑的端口。
例如冰河使用的監聽端口是7626，Back Orifice 2000使用的監聽端口是54320等。
假如查看到有可疑的程序在利用可疑端口進行連接，則很有可能就是中了木馬。
查看端口的方法有幾種：

(1)使用Windows本身自帶的netstat命令

C:\>netstat -an
Active Connections

Proto Local Address Foreign Address State
TCP 0.0.0.0:113 0.0.0.0:0 LISTENING
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1026 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1033 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1230 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1232 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1239 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1740 0.0.0.0:0 LISTENING
TCP 127.0.0.1:5092 0.0.0.0: LISTENING
TCP 127.0.0.1:5092 127.0.0.1:1748 TIME_WAI
TCP 127.0.0.1:6092 0.0.0.0:0 LISTENING
UDP 0.0.0.0:69 *:*
UDP 0.0.0.0:445 *:*
UDP 0.0.0.0:1703 *:*
UDP 0.0.0.0:1704 *:*
UDP 0.0.0.0:4000 *:*
UDP 0.0.0.0:6000 *:*
UDP 0.0.0.0:6001 *:*
UDP 127.0.0.1:1034 *:*
UDP 127.0.0.1:1321 *:*
UDP 127.0.0.1:1551 *:*

(2)使用windows2000下的命令行工具fport

E:\software>Fport.exe
FPort v2.0 - TCP/IP Process to Port Mapper
Copyright 2000 by Foundstone, Inc.
http://www.foundstone.com

Pid Process Port Proto Path
420 svchost -> 135 TCP E:\WINNT\system32\svchost.exe
8 System -> 139 TCP
8 System -> 445 TCP
768 MSTask -> 1025 TCP E:\WINNT\system32\MSTask.exe
8 System -> 1027 TCP
8 System -> 137 UDP
8 System -> 138 UDP
8 System -> 445 UDP
256 lsass -> 500 UDP E:\WINNT\system32\lsass.exe

(3)使用圖形化界面工具Active Ports

這個工具可以監視到電腦所有打開的TCP/IP/UDP端口，還可以顯示所有端口所對應的程序所在的路徑，
本地IP和遠端IP(試圖連接你的電腦IP)是否正在活動。這個工具適用于Windows NT/2000/XP平臺。

2、查看win.ini和system.ini系統配置文件

查看win.ini和system.ini文件是否有被修改的地方。
例如有的木馬通過修改win.ini文件中windows節 的“load=file.exe ，run=file.exe”語句進行自動加載。
此外可以修改system.ini中的boot節，實現木馬加載。
例如 “妖之吻” 病毒，將“Shell=Explorer.exe” （Windows系統的圖形界面命令解釋器）
修改成“Shell=yzw.exe”，在電腦每次啟動后就自動運行程序yzw.exe。
修改的方法是將“shell=yzw.exe”還原為“shell=explorer.exe”就可以了。

3、查看啟動程序

如果木馬自動加載的文件是直接通過在Windows菜單上自定義添加的，
一般都會放在主菜單的“開始->程序->啟動”處，
在Win98資源管理器里的位置是“C:\windows\start menu\programs\啟動”處。
通過這種方式使文件自動加載時，一般都會將其存放在注冊表中下述4個位置上： 　　
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\Explorer\Shell Folders 　
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\Explorer\Ur Shell Folders
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\Explorer\Ur Shell Folders　
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\Explorer\Shell Folders
檢查是否有可疑的啟動程序，便很容易查到是否中了木馬。
在Win98系統下，還可以直接運行Msconfig命令查看啟動程序和system.ini、win.ini、autoexec.bat等
文件。

4、查看系統進程

木馬即使再狡猾，它也是一個應用程序，需要進程來執行?？梢酝ㄟ^查看系統進程來推斷木馬是否存在。
　　在Windows NT/XP系統下，按下“CTL+ALT+DEL”，進入任務管理器，就可看到系統正在運行的全部進程。
在Win98下，可以通過Prcview和winproc工具來查看進程。查看進程中，要求你要對系統非常熟悉，
對每個系統運行的進程要知道它是做什么用的，這樣，木馬運行時，
就很容易看出來哪個是木馬程序的活動進程了。

5、查看注冊表

木馬一旦被加載，一般都會對注冊表進行修改。一般來說，
木馬在注冊表中實現加載文件一般是在以下等處：
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\RunServicesOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\RunServices
此外在注冊表中的HKEY_CLASSES_ROOT\exefile\shell\open\command=
““%1” %*”處，如果其中的“%1”被修改為木馬，那么每次啟動一個該可執行文件時木馬就會啟動一次，
例如著名的冰河木馬就是將TXT文件的Notepad.exe改成了它自己的啟動文件，
每次打開記事本時就會自動啟動冰河木馬，做得非常隱蔽。
還有“廣外女生”木馬就是在HKEY_CLASSES_ROOT\exefile\shell\open
\command=““%1” %*”處將其默認鍵值改成"%1" %*"，
并在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\RunServices添加了名稱為"Diagnostic Configuration"的鍵值；

6、使用檢測軟件

上面介紹的是手工檢測木馬的方法，此外，我們還可以通過各種殺毒軟件、
防火墻軟件和各種木馬查殺工具等檢測木馬。各種殺毒軟件主要有：KV3000,Kill3000、瑞星等，
防火墻軟件主要有國外的Lockdown，國內的天網、金山網鏢等，各種木馬查殺工具主要有：The Cleaner、
木馬克星、木馬終結者等。這里推薦一款工具防護工具McAfee VirusScan ，
它集合了入侵防衛及防火墻技術，為個人電腦和文件服務器提供全面的病毒防護。

木馬清除
檢測到電腦中了木馬后，就要根據木馬的特征來進行清除。查看是否有可疑的啟動程序、
可疑的進程存在，是否修改了win.ini、system.ini系統配置文件和注冊表。
如果存在可疑的程序和進程，就按照特定的方法進行清除。
主要的步驟都不外乎以下幾個：
（但并不是所有的木馬清除都能夠根據下列步驟刪除，這里只是介紹清除木馬的基本方法）

1、刪除可疑的啟動程序

查看系統啟動程序和注冊表是否存在可疑的程序后，判斷是否中了木馬，
如果存在木馬，則除了要查出木馬文件并刪除外，還要將木馬自動啟動程序刪除。
例如Hack.Rbot病毒、后門就會拷貝自身到一些固定的windows自啟動項中：
WINDOWS\All Urs\Start Menu\Programs\StartUp
WINNT\Profiles\All Urs\Start Menu\Programs\Startup
WINDOWS\Start Menu\Programs\Startup
Documents and Settings\All Urs\Start Menu\Programs\Startup
查看一下這些目錄，如果有可疑的啟動程序，則將之刪除。

2、恢復win.ini和system.ini系統配置文件的原始配置

許多病毒會將win.ini和system.ini系統配置文件修改，使之能在系統啟動時加載和運行木馬程序。
例如電腦中了“妖之吻”病毒后，病毒會將system.ini中的boot節的
“Shell=Explorer.exe”字段修改成“Shell=yzw.exe”,清除木馬的方法是把system.ini給恢復原始配置，
即“Shell=yzw.exe”修改回“Shell=Explorer.exe”，再刪除掉病毒文件即可。
TROJ_BADTRANS.A病毒，也會更改win.ini以便在下一次重新開機時執行木馬程序。
主要是將win.ini中的windows節的“Run=”字段修改成“Run= C:%WINDIR%INETD.EXE”字段。
執行清除的步驟如下：

　　 （1）打開win.ini文本文件，將字段“RUN=C:%WINDIR%INETD.EXE”中 等號后面的字符刪除，
僅保留“RUN=”。
　　 （2）將被TROJ_BADTRANS.A病毒感染的文件刪除。

3、停止可疑的系統進程

木馬程序在運行時都會在系統進程中留下痕跡。通過查看系統進程可以發現運行的木馬程序，
在對木馬進行清除時，當然首先要停掉木馬程序的系統進程。
例如Hack.Rbot病毒、后門除了將自身拷貝到一些固定的windows自啟動項中外，
還在進程中運行wuamgrd.exe程序，修改了注冊表，以便病毒可隨機自啟動。
在看到有木馬程序在進程中運行，則需要馬上殺掉進程，并進行下一步操作，修改注冊表和清除木馬文件。

4、修改注冊表

查看注冊表，將注冊表中木馬修改的部分還原。例如上面所提到的Hack.Rbot病毒、后門，
向注冊表的以下地方：
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion \RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\Run
添加了鍵值"Microsoft Update" = "wuamgrd.exe"，以便病毒可隨機自啟動。
這就需要我們進入注冊表，將這個鍵值給刪除。注意：可能有些木馬會不允許執行.exe文件，
這樣我們就需要先將regedit.exe改成系統能夠運行的，比如可以改成regedit.com。
這里就說說如何清除Hack.Rbot病毒、后門的。

（1）將進程中運行的wuamgrd.exe進程停止，這是一個木馬程序；
（2）將Hack.Rbot拷貝到windows啟動項中的啟動文件刪除；
（3）將Hack.Rbot添加到注冊表中的鍵值"Microsoft Update"=
"wuamgrd.exe"刪除；
（4）手工或用專殺工具刪除被Hack.Rbot病毒感染的文件。并全面檢查系統。

5、使用殺毒軟件和木馬查殺工具進行木馬查殺

常用的殺毒軟件包括KV3000、瑞星、諾頓等，這些軟件對木馬的查殺是比較有效的，
但是要注意時刻更新病毒庫，而且對于一些木馬查殺不徹底，在系統重新啟動后還會自動加載。
此外，你還可以使用The Cleaner、木馬克星、木馬終結者等各種木馬轉殺工具對木馬進行查殺。
這里推薦一款工具Anti-Trojan Shield，這是一款享譽歐洲的專業木馬偵測、攔截及清除軟件。
可以在http://www.atshield.com網站下載。

木馬防范
隨著網絡的普及，硬件和軟件的高速發展，網絡安全顯得日益重要。對于網絡中比較流行的木馬程序，
傳播時間比較快，影響比較嚴重，因此對于木馬的防范就更不能疏忽。
我們在檢測清除木馬的同時，還要注意對木馬的預防，做到防范于未然。

1、不要隨意打開來歷不明的郵件

現在許多木馬都是通過郵件來傳播的，當你收到來歷不明的郵件時，請不要打開，應盡快刪除。
并加強郵件監控系統，拒收垃圾郵件。

2、不要隨意下載來歷不明的軟件

最好是在一些知名的網站下載軟件，不要下載和運行那些來歷不明的軟件。
在安裝軟件的同時最好用殺毒軟件查看有沒有病毒，之后才進行安裝。

3、及時修補漏洞和關閉可疑的端口

一般木馬都是通過漏洞在系統上打開端口留下后門，以便上傳木馬文件和執行代碼，
在把漏洞修補上的同時，需要對端口進行檢查，把可疑的端口關閉。

4、盡量少用共享文件夾

如果必須使用共享文件夾，則最好設置帳號和密碼保護。注意千萬不要將系統目錄設置成共享，
最好將系統下默認共享的目錄關閉。Windows系統默認情況下將目錄設置成共享狀態，這是非常危險的。

5、運行實時監控程序

在上網時最好運行反木馬實時監控程序和個人防火墻，并定時對系統進行病毒檢查。

6、經常升級系統和更新病毒庫

經常關注廠商網站的安全公告，這些網站通常都會及時的將漏洞、木馬和更新公布出來，
并第一時間發布補丁和新的病毒庫等。

采用注冊表來管理系統配置，主要是為了提高系統的穩定性，平時操作系統出現的一些問題，
諸如系統無法啟動、應用程序無法運行、系統不穩定等情況，很多都是因為注冊表出現錯誤而造成的，
而通過修改相應的數據就能解決這些問題，所以，掌握如何正確備份、恢復注冊表的方法，
可以讓每一個用戶更加得心應手地使用自己的電腦。

一、利用注冊表編輯器手工備份注冊表

注冊表編輯器（Regedit）是操作系統自帶的一款注冊表工具，通過它就能對注冊表進行各種修改。
當然，"備份"與"恢復"注冊表自然是它的本能了。

（1）通過注冊表編輯器備份注冊表
由于修改注冊表有時會危及系統的安全，因此不管是WINDOWS 98還是WINDOWS 2000甚至WINDOWS XP，
都把注冊表編輯器"藏"在了一個非常隱蔽的地方，要想"請"它出山，必須通過特殊的手段才行。
點擊"開始"菜單，選擇菜單上的"運行"選項，在彈出的"運行"窗口中輸入"Regedit"后，點擊"確定"按鈕，
這樣就啟動了注冊表編輯器。

點擊注冊表編輯器的"注冊表"菜單，再點擊"導出注冊表文件"選項，
在彈出的對話框中輸入文件名"regedit"，將"保存類型"選為"注冊表文件"，再將"導出范圍"設置為"全部"，
接下來選擇文件存儲位置，最后點擊"保存"按鈕，就可將系統的注冊表保存到硬盤上。

完成上述步驟后，找到剛才保存備份文件的那個文件夾，就會發現備份好的文件已經放在文件夾中了。

（2）在DOS下備份注冊表

當注冊表損壞后，WINDOWS（包括"安全模式"）無法進入，此時該怎么辦呢？
在純DOS環境下進行注冊表的備份、恢復是另外一種補救措施，下面來看看在DOS環境下，
怎樣來備份、恢復注冊表。

在純DOS下通過注冊表編輯器備份與恢復注冊表前面已經講解了利用注冊表編輯器在WINDOWS環境下備份、
恢復注冊表，其實"Regedit.exe"這個注冊表編輯器不僅能在WINDOWS環境中運行，也能在DOS下使用。

雖然在DOS環境中的注冊表編輯器的功能沒有在WINDOWS環境中那么強大，但是也有它的獨到之處。
比如說通過注冊表編輯器在WINDOWS中備份了注冊表，可系統出了問題之后，無法進入WINDOWS，
此時就可以在純DOS下通過注冊表編輯器來恢復注冊表。

應該說在DOS環境中備份注冊表的情況還是不多見的，一般在WINDOWS中備份就行了，
不過在一些特殊的情況下，這種方式就顯得很實用了。

進入DOS后，再進入C盤的WINDOWS目錄，在該目錄的提示符下輸入"regedit"后按回車鍵，
便能查看"regedit"的使用參數。

通過"Regedit"備份注冊表仍然需要用到"system.dat"和"ur.dat"這兩個文件，
而該程序的具體命令格式是這樣的：
Regedit /L:system /R:ur /E filename.reg Regpath

參數含義：
/L：system指定System.dat文件所在的路徑。
/R：ur指定Ur.dat文件所在的路徑。
/E：此參數指定注冊表編輯器要進行導出注冊表操作，在此參數后面空一格，輸入導出注冊表的文件名。
Regpath：用來指定要導出哪個注冊表的分支，如果不指定，則將導出全部注冊表分支。在這些參數中
，"/L：system"和"/R：ur"參數是可選項，如果不使用這兩個參數，
注冊表編輯器則認為是對WINDOWS目錄下的"system.dat"和"ur.dat"文件進行操作。
如果是通過從軟盤啟動并進入DOS，
那么就必須使用"/L"和"/R"參數來指定"system.dat"和"ur.dat"文件的具體路徑，
否則注冊表編輯器將無法找到它們。

比如說，如果通過啟動盤進入DOS，
則備份注冊表的命令是"Regedit /L:C:\windows\/R:C:\windows\/e regedit.reg",
該命令的意思是把整個注冊表備份到WINDOWS目錄下，其文件名為"regedit.reg"。
而如果輸入的是"regedit /E D:\regedit.reg"這條命令，
則是說把整個注冊表備份到D盤的根目錄下（省略了"/L"和"/R"參數），其文件名為"Regedit.reg"。
（ 3）用注冊表檢查器備份注冊表
在DOS環境下的注冊表檢查器Scanreg.exe可以用來備份注冊表。

命令格式為：
Scanreg /backup /restore /comment

參數解釋：
/backup用來立即備份注冊表
/restore按照備份的時間以及日期顯示所有的備份文件
/comment在/restore中顯示同備份文件有關的部分

注意：在顯示備份的注冊表文件時，壓縮備份的文件以 .CAB文件列出，
CAB文件的后面單詞是Started或者是NotStarted，Started表示這個文件能夠成功啟動Windows，
是一個完好的備份文件，NotStarted表示文件沒有被用來啟動Windows，
因此還不能夠知道是否是一個完好備份。

比如：如果我們要查看所有的備份文件及同備份有關的部分，命令如下：
Scanreg /restore /comment

注冊表恢復

注冊表中存放著計算機軟硬件的配置信息，病毒、網頁惡意代碼往往要修改注冊表，
平時安裝、操作軟件也會使注冊表內容發生變化。當計算機工作不正常時，
往往可以通過恢復注冊表來修復。所以，平時我們應經常備份注冊表(運行regedit，導出注冊表文件)。
這樣，需要時就可以導入過去某個備份，使電腦恢復正常。
如果平時沒有導出注冊表，則只好通過運行 scanreg /restore來恢復注冊表，
或運行scanreg
/fix來修復注冊表。不過該命令應該在DOS下執行。對于win98系統，開機時按F8，
選擇Command Prompt
Only進入DOS；對于WinMe系統，則可以運行Command進入DOS。當然，也可以用軟盤引導系統，
進入C:\windows\command子目錄，然后執行上述修復注冊表的命令。
目前網頁惡意代碼最可惡的破壞行為之一是在注冊表中禁止了程序運行。
此時因IE無法運行，不能使用在線自動修復；且“微機數據維護”等修復軟件也不能運行；
同樣也不能導入注冊表文件來修復注冊表。此時唯一的辦法就是在DOS下運行C:\windows
scanreg /restore來修復注冊表。

手機如何查殺木馬病毒

若使用的是vivo手機，可查看查殺手機病毒的方法：
1、進入 i 管家--安全檢測中，可掃描并清理病毒；
2、盡量不要瀏覽安全性能低的瀏覽器網頁；
3、軟件的安裝涉及來源是否安全，下載需通過官方渠道；
4、定期升級手機系統。