系统中又有多少文件关联可供它改呢？你打开注册表编辑器看看第一大项下面的子项就知道有多少了，怎么也上千个吧。
　　 如何查杀呢？
　　 一般的木马会改一些你会经常用到的文件的关联，比如：文本文件、程序文件、网页文件等。而网上有很多恢复文件关联的程序或注册表导出文件都可以恢复这些常见的文件关联。
　　 但这样检查显然是远远不够的，如果你是木马的作者，你知道这些常见的文件关联会被检查并恢复，你还会改这些么？就不会了吧，因为可供你选择的太多了。比如：选择修改.rar文件的关联，这是类文件是压缩文件，网上提供下载的程序有很多是以这类文件格式存在的，所以一般上网的网民打开压缩文件的机率会非常高，而恢复这一文件关联的程序几乎没有，因为恢复后的直接结果就是压缩文件打不开了，因为恢复程序的作者不是神仙，他不知道你用的是哪个压缩软件，你的压缩软件又安装在了哪里，所以，他不会给你恢复这个的。
　　 这样，只要你打开压缩文件，就会触发木马，如果这个木马的关联文件是一个影子程序的话，那由于影子程序都不具备病毒特征，所以全盘文件扫描也不会将它找出来，你找到并清除的都是这个程序的释放体，而源头还在，从此，木马将成为你挥之不去的恶梦～（关于影子程序我们下一次细讲）
　　
　　 文件关联如何检查呢？两种方法，一种是通过监控得到哪个文件关联被修改的，然后再改回去。第二种是用专业软件，对所有文件关联进行扫描。
　　 如何通过监控得到文件关联是否正确呢？

转截请注明:文章来自 pc捍卫者 http://www.pchwz.com 本站发布此文为传递更多信息之目的,不表明pc捍卫者赞同其观点