操作系统知识：
用户：分为超级用户和受限用户，超级用户可以访问所有的机器资源，受限用户则无权应用
某些服务，如软件安装服务，无法访问一些文件夹，无法访问一些注册表值，但用户受限制
的同时，病毒也受到了限制，所以建议用户一般运行于受限用户下，可以有效阻止病毒。受
限用户的权限，可由超级用户进行设置，一般为右击该对象中有设置，比如文件夹的属性/
安全标签。

文件：exe/dll/ocx/scr/pif都包括了二进制执行代码，成为病毒的主体或寄生体。
doc/ini/bat/vbs/htt等文件是文本形式,但也可以被执行，所以也可以成为病毒主体。病毒
尤其是木马文件一般存在于c:\windows  c:\windows\system32 c:\windows\system及
c:\program files等所有操作系统安装既有的文件夹中，流氓软件则除了以上文件夹，一般
还是存在于program files内自建文件夹中c:\windows\system32\drivers\etc\hosts文件，
指定了操作系统在进行域名解析时优先采用的IP地址，会被病毒用来屏蔽杀毒软件网站，或
者当用户访问知名网站时引向病毒网页。

注册表：操作系统硬件、软件的配置信息的集合。开始菜单运行regedit打开
需要关心的：
其中指定了包括了大量系统启动时、浏览器启动时或者打开文件夹，打开“我的电脑”，右
击文件后各菜单项，对图片进行预览时等等系统会执行或加载的文件，所以成为非感染正常
文件型的病毒进行执行的主要途径，此类病毒必然修改或影响这里。

EXE/DLL/TXT等的关联，如有关EXE文件的有关两个：
HKEY_CLASSES_ROOT\.exe
这一项的默认值指定了.EXE的具体处理方法在exefile处
继续：
HKEY_CLASSES_ROOT\exefile
打开，其下的shell\open,就指定了一个EXE文件的具体打开办法。
所以HKEY_CLASSES_ROOT\.exe和HKEY_CLASSES_ROOT\exefile共同决定了EXE打开方式，其中
一个被修改都会出现偏差。如果用户机器出现了所有EXE打开异常，就需要看这里。
同样的DLL/TXT/scr关联亦如此。

注册表的HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock
和HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2
包括了操作系统的网络数据的处理结构链表，病毒可以修改该链表将自己加入其中

进程：EXE/SCR/PIF文件执行后在内存中的映象，DLL/OCX只能以模块形式被嵌入其中。进程
包括若干线程，操作系统的多任务其实可以理解为多线程，每个线程完成不同的任务，比如
同一个进程QQ，视频聊天、

传文件的同时进行既是两个线程同时进行工作的结果。
端口：进程或线程通过网络进行通信的管道，不同的应用被标以不同的端口号，比如QQ使用
4000，浏览器会使用80，FTP使用21，而系统也会保留一部分端口，如135 139用于网络邻居
等用途。一个进程可以打开若干端口进行不同的用途。线程也可以拥有若干端口，但显然同
时只能通过一个端口进行通信。
服务：操作系统用以完成系统基础功能，如自动更新，文件共享、打印、即插即用等应用。
可以在开始菜

单运行services.msc打开服务列表（或从控制面板，管理工具），服务可以被设置为禁止或
自动（手动），禁止则服务永不可打开，自动则系统启动时既打开，手动指可以由用户和程
序在需要时打开，对于普通用户，多余的服务可能带来危险性，服务有单独的进程或依附于
SVCHOST.EXE中。可以参考网上资料对一部分服务禁止或设为手动。

驱动：硬件设备的驱动程序或者软件系统最核心功能（比如TCP/IP网络、文件系统），运行
在CPU的最0级，拥有直接操作硬件设备和访问操作系统所有核心数据的能力，所以ROOTKIT
病毒便存在于此，在开始菜单运行msinfo32,软件环境，已加载驱动程序中看到列表。但可
以被ROOTKIT绕过。

服务和驱动，都位于注册表的HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum和
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services键下。