电脑病毒总会在我们不经意间就侵入了我们的系统，虽然安装了杀毒软件和防火墙，仍旧挡不住一些病毒的强烈攻势，其实病毒的原理和普通程序一样，需要执行各项操作并对系统设置进行更改以达到其破坏系统或记录系统信息的目的。很多时候，我们只要知道了病毒程序在磁盘存储和注册表中记录信息的位置，我们就能很好的清除和防御该病毒，本文就来举例说说病毒在注册表中隐藏的位置，希望对大家杀毒有所帮助。

　　如果杀毒软件难于清理、或被关闭了杀毒程序，也有可能是被执行挂钩了。这时候应当检测HKLM＼Software＼Microsoft＼Windows＼CurrentVersion＼Explorer＼ShellExecuteHooks，大量恶意软件以及病毒均会写入这里。因为，很少有正常程序会写入这里，病毒几率非常大。

　　有的时候，安全模式也加载，杀毒程序被关闭了。这有可能就是机器狗新变种或磁碟机变种在作梗。重点检查一下HKLM＼SOFTWARE＼Microsoft＼WindowsNT＼CurrentVersion＼Windows＼Appinit_Dlls。很少有正常程序会写入这个位置，病毒几率极高。

　　如果发现某个特定文件名的文件无法执行了，十有八九是被映像劫持，重点排查HKLM＼Software＼Microsoft＼WindowsNT＼CurrentVersion＼Image File Execution Options，大多数AV病毒均会写在这里。当然，被劫持的文件不一定是exe文件。有的病毒为了防止ani.ani还原病毒主文件，便劫持ani.ani文件。

　　大名鼎鼎的AV终结者变种程序在开机时启动双进程坚守、关闭杀毒程序。一般来说，发现防火墙被关闭，就有可能是病毒光临驾到了。检测HKLM＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼Run是否有它的踪影。这里属于常规启动项，很多程序会写在这里。

　　灰鸽子是很有名的病毒了，现在出想了它的变种，而且难于发现与清理，可以关闭杀毒程序。由于病毒是写入底层服务与rootkits驱动，所以才导致清除困难。用户可以重点检查HKLM＼System＼CurrentControlSet＼Services。

　　飘雪变种病毒可以将杀毒软件安装文件进行删除，而且会修改hosts文件、在QQ目录下写入隐藏的病毒dll并且修改API HOOH。这时可以重点检查HKLM＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼Explorer＼SharedTaskSchedulerHKLM＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼ShellServiceObjectDelayLoad