如今出现了越来越多的对抗杀毒软件以及检测工具扫描的病毒，他们会关闭甚至删除杀毒软件以及检测工具。一般用户很难判断他们藏在哪里，做了些什么。而这时杀毒软件以及安全工具确普遍无法运行。  

　　本文主要列举说明一些常见抗杀软类病毒的需要注意的检测位置。  

　　一：Run键值  

　　典型病毒：AV终结者变种  

　　目的现象：开机启动双进程坚守、关闭杀毒程序等。  

　　检测位置：  

　　HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun  

　　补充说明：该位置属于常规启动项，很多程序会写。  

　　二：执行挂钩  

　　典型病毒：大量恶意软件以及病毒均会写入  

　　目的现象：杀毒软件难于清理、关闭杀毒程序等。  

　　检测位置：  

　　HKLMSoftwareMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks  

　　补充说明：很少有正常程序会写入该位置，病毒几率非常大。典型例外：瑞星反病毒软件
三：Appinit_dlls  

　　典型病毒：机器狗新变种、磁碟机变种。  

　　目的现象：安全模式也加载、关闭杀毒程序等。  

　　检测位置：  

　　HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWindowsAppinit_Dlls  

　　补充说明：很少有正常程序会写入该位置，病毒几率变态大。典型例外：AVG互联网安全套装  

　　四：服务以及驱动：  

　　典型病毒：灰鸽子变种  

　　目的现象：难于发现与清理、关闭杀毒程序等。  

　　检测位置：  

　　HKLMSystemCurrentControlSetServices  

　　补充说明：病毒写入底层服务与rootkits驱动，导致清除困难。  

　　五：映像劫持  

　　典型病毒：大多数AV病毒均会写入此位置  

　　目的现象：简单粗暴地让某个特定文件名的文件无法执行  

　　检测位置：  

　　HKLMSoftwareMicrosoftWindows NTCurrentVersionImage File Execution Options  

　　补充说明：被劫持的文件不一定是exe文件。如Papa在处理恐怖鸡感染号病毒时，为了防止ani.ani还原病毒主文件，便劫持ani.ani文件。