主题：人艰不拆讲笑话之五 2022年新楼 -- 骨头龙

ARK工具即Anti-Rootkit。通过分析当前系统状况和历史变动（类似检查）来判断问题具体现在什么地方。当前是否有办法处理。

比如可以查看进程模块，发现HOOK的进程和注入的DLL，一并处理掉就可以避免病毒进程不断再生。查看文件读写则可以发现存放位置和影响的文件，查看网络则可以阻断连接，避免下载病毒包或者垃圾软件包。文件管理可以正常显示畸形目录、特殊隐藏，还有查看和监控注册表、管理启动项……追踪弹窗的隐藏进程之类。总之就是根据病毒行为展开检查和应对。

而一键修复则不然，一般思路是保护所有系统／默认／安全内容项，其他的全部扫掉。或者检查常见设置，应用可用设置。或者阻断新生进程，联网检查现有进程和关键区文件是否安全。或者联网检查恢复系统文件。又或者基于特征清理文件、插件还有设置项……总之是通过系统正常状态展开检查和应对。

两者当然都需要知道什么是正常、安全，但一个是干预病毒，追踪具体改变。一个是干预系统，恢复整体、筛出病毒。

所以我认为这个类比至少是有道理的，因为很多时候病毒的原理是不清楚的，甚至包括行为和影响。不能拆开代码，还要及时处理，那么只能换一个思路解决问题。通常，行为再多，只要把常规文件、设置恢复了就可以解决问题。故不大可能是像六合彩。

这还只是系统，还没讨论万能的拍电视和拍主机呢。最后可能发现是某个元件有灰，某根导线老化，某一电容虚接，某一电路板连电，但是拍一下就能解决的时候，的确不需要拆开。拆开还会引发各种相关问题，有点像骨头龙兄那个笑话，扫了个灰，一周后烧了。虽然正确的应对是及时检查处理，有经验的也不会引发这种问题。

大概是个形容词，六合彩的概率经过实证吗？

如果是说病因，那么，根据系统文件、设置的改变，归纳出行为、影响特征，然后定义为（属于）某一类病毒或者程序，这样能明白吗？

关键在于它是现象综合，得出不是某一实体，而是具体性质（的东西）。

这个性质背后可以发现许多实在，不一定都是实体。我们可以研究具体有什么，如何作用。但如果现阶段够用，是不需要去研究的。何况现在是没有能力（时间、技术、精力）去研究。