现如今,病毒、木马如雨后春笋般不断涌出,一不小心系统就会因病毒感染而变得"满目疮痍",造成机器运行速度非常的慢,虽然我们可以通过使用杀毒软件对系统进行扫描杀毒,但有些时候却发现扫描的结果没有发现病毒,使我们束手无,其实在这种情况下我们只要掌握了病毒的规律,完全可以通过自检的方式将病毒"揪"出来并将其消灭。
一、了解病毒藏匿的位置
"知己知彼,百战不殆",只有对病毒藏身位置有了一定了解,才能够彻底消除病毒。病毒经常隐匿之处最常见的地方就是"启动"菜单项。我们都知道只要将应用程序放置到"开始"→"程序"菜单内的"启动"菜单项中,当系统启动时,该程序就会自动运行,一些病毒正是利用这一特性达到自启动的目的。不过"启动"菜单项过于显眼,即使是初学者也会在这里将病毒清除,较为高深一些的病毒绝对不会将自身程序放置在这里,而是将其加载到了系统中的Win.ini、System.ini中,对于这两个地方,一般初学者或者对系统不够深入了解的人是不敢去"触摸"的,一旦它们稍有损害,整个系统就要面临崩溃状态,而病毒真是利用了人们的这一心理,将自身藏入其中,比如在Win.ini文件中,病毒会将启动程序放置[Windows]域中的load项和run项内,这样系统启动后就会自动加载了。而System.ini则不同,事实上,System.ini文件并没有给用户可用的启动项目,然而通过它启动却是非常好用的。在System.ini文件的[Boot]域中的Shell项的值正常情况下是"Explorer.exe",这是Windows的外壳程序,换一个程序就可以彻底改变Windows的面貌,很多病毒程序就是在"Explorer.exe"后面加上自身程序的路径,这样Windows启动后木马也就随之启动,而且即使是安全模式启动也不会跳过这一项,这样木马也就可以保证永远随Windows启动了。
病毒比较喜欢隐藏的地方还有就是注册表。在注册表中提供了很多供病毒藏匿的地方,比如我们经常接触的Run键。Run键的位置是
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
其下的所有程序在每次启动登录时都会按顺序自动执行。 还有一个不被注意的Run键,位于注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] 以及
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] 。
另外,RunOnce键、RunServicesOnce键、RunServices键、RunOnceEx键、Load键以及Winlogon键等等地方,都是病毒经常"驻扎"的地方,而且这些地方非常复杂,一旦漏删了某一键,病毒仍然会自动启动的。除此之外,病毒也会通过某些特定的程序或者文件启动,比如"寄生"在特定程序之中,与相关文件关联以及将特定程序更名等方式,使电脑使用者防不胜防。
二、对系统进行全面自检
通过以上的分析,我们对病毒藏身之处有了一定的了解,当然病毒的藏身如"狡兔三窟",一时间不可能全部查找出来,但是"再狡猾的狐狸,也逃不掉猎人的眼睛",我们只要多付出一些耐心、细致,就会将病毒彻底清除。
(一)从隐藏文件中查找:病毒文件通常都是隐藏的,为此要想消除病毒,我们可以先从隐藏文件下手。在"资源管理器"中,单击菜单栏中的"工具→文件夹选项"命令,在弹出的"文件夹选项"对话框中的"查看"标签面板内,将"隐藏受保护的操作系统文件"前面的钩取消,并选中"显示所有文件和文件夹"单选项,最后单击"确定"按钮后即可看到所有的隐藏文件,这时我们只要在资源管理器中查看一下是否有异常文件即可。
(二)从系统启动项中查找:我们在前面的讲解中了解到,病毒一般都是随着系统的启动而启动,那么我们可以通过在"启动项"中将病毒删除掉的方法来解决。
1、 使用"系统配置实用程序"
单击"开始→运行"命令,在弹出的对话框中输入"msconfig"命令,打开"系统配置实用程序"对话框,在其中切换到"启动"标签面板中,我们可以看到在其中包含了所有的启动程序,如图1所示。
启动项
如果要找出其中的病毒,必须要进行仔细分辨,因为病毒会使用各种方法来迷惑我们,如果有不认识的启动项目,可以通过上网查找相关信息来进一步确定,若为病毒,则取消该启动项目,然后单击"确定"按钮即可。
2、 使用工具
"系统配置实用程序"是系统自带的程序,它的优点就在于方便,随时都可以在系统中调用,但是缺点在于对于其中的启动项没有详细的说明,对于初学者来说是不敢轻易乱动的,怕引起系统崩溃。其实在网络上有很多工具都提供了检测启动项的功能,而且功能更为强大,对于初学者来讲也非常容易上手,在这里我们借助"奇虎360安全卫士"来达到从"启动项"中将病毒删除掉的目的。
打开"奇虎360安全卫士",进入到"高级"→"启动项状态"标签面板中,我们可以看到"奇虎360安全卫士"将系统中所有的启动项目全部列举出来了,而且对于每一个启动项目都给出了详细说明、所在位置以及安全级别,但点击其中一个启动项目时,"奇虎360安全卫士"会弹出一个详细的说明,帮助你了解这个启动项目,从而正确地判断出是否是病毒,这对于初学者来说是一个很好的帮助,如图2所示。
“奇虎360安全卫士”启动项
(三)从"服务"项中检测"服务"也是病毒经常下手的地方,病毒只要在"服务"项目中动些手脚也可达到随系统自启动的目的。进入到"控制面板"中的"管理工具"内,双击其中的"服务"快捷方式,即可进入到"服务"面板中,在其中我们针对服务中描述的部分就可以查找病毒添加的项目,在其中上面单击鼠标右键,从弹出的快捷菜单中选择"停止"命令即可。图三
服务项目
(四)从进程中查找
什么是进程?进程就是应用程序的运行实例,是应用程序的一次动态执行。看似高深,实际上可以简单地理解为它是操作系统当前运行的执行程序。在系统当前运行的执行程序里包括:系统管理计算机个体和完成各种操作所必需的程序;用户开启、执行的额外程序,当然也包括用户不知道,而自动运行的非法程序,它们就有可能是病毒程序。
按住键盘上的"Ctrl+Alt+Del"键打开"任务管理器",并进入到"进程"标签面板中,勾选中"显示所有用户的进程"复选框,我们从中可以查看到运行的所有程序名称、程序所在路径以及每个程序所占用的内存,如图4所示。
进程列表
当某一进程我们既不知道它的名称含义,而且它所占用的内存又非常大,同时机器又处在运行缓慢的状态,这时我们就要注意了,这个进程有可能是病毒,通过确认后应及时将其关闭。其实病毒还喜欢使用与系统进程相似的名称来迷惑电脑使用者,比如用假名称"svch0st.exe"来冒充真正的进程"svchost.exe",很多人不仔细观察是不容易发现的。另外有些病毒所使用主程序名称与正常系统进程名称一样,但你只要稍微观察一下,就会发现二者还是有区别的,它们的路径不一样。
如果对于"任务管理器"中进程确实没有太大的把握确定的话,我们不妨使用一些辅助软件,如"泛华进程管理工具"来实现结束病毒的进程。
软件档案
| 软件名称: 泛华进程管理工具 V1.0 |
| 软件大小: 2.11MB |
| 软件语言: 简体中文 |
| 软件类别: 国产软件 / 免费版 / 系统其它 |
| 运行环境: Vista, Win2003, WinXP, Win2000, NT, WinME |
| 下载地址: http://www.05sun.com/downinfo/5441.html |
"泛华进程管理工具"是一款免费软件,将"泛华进程管理工具"下载后打开,可以看到它的界面,如图5所示。
泛华进程管理工具
我们在使用时应先选中所怀疑的进程,然后单击界面下方的"获取选中进程的信息"按钮,"泛华进程管理工具"会将系统中所有与此进程相关的信息列出来供我们分析,使我们做到一目了然,待确定后即可单击"终止选中的进程"按钮来结束这个进程,从而达到消除病毒的目的。
"泛华进程管理工具"所提供的功能非常的多,甚至提供了Windows"任务管理器"一些不具备的功能,如能结束"任务管理器"杀不掉的进程;用户可使用"定位文件"功能方便地找到进程所在的文件夹;可按进程的"修改时间"排序,这样被病毒感染的文件一目了然了等等。除了"泛华进程管理工具"以外,进程管理工具Procexp也是一款非常不错的进程管理工具,通过它也可以有效查出冒充病毒进程。
五、从系统内核中检测
现在的病毒更加的"狡猾",采用rootkit技术将服务隐藏,这就需要使用系统内核检查才能够将其"消灭"掉。所谓的rootkit技术,就是通过修改系统的内核让病毒的进程、服务以及文件等隐藏起来,躲过电脑操作者的查杀,因此,当我们在上述的工具中如果没有发现没有发现病毒,我们就需要对系统内核进行检查了,可以利用专门的工具,如IceSword。
软件档案
| 软件名称: 冰刃 IceSword 1.20 中文版 |
| 软件大小: 2120KB |
| 软件类别: 国产软件/系统安全 |
| 软件授权: 免费版 |
| 软件语言: 简体中文 |
| 运行环境: Win9x/Me/NT/2000/XP/2003 |
| 下载地址: http://www.onlinedown.net/soft/53325.htm |
IceSword是一把斩断黑手的利刃,它适用于Windows 2000/XP/2003 操作系统,其内部功能是十分强大,用于查探系统中的幕后黑手--木马后门,,并作出处理。可能你也用过很多类似功能的软件,比如一些进程工具、端口工具,但是现在的系统级后门功能越来越强,一般都可轻而易举地隐藏进程、端口、注册表、文件信息,使得一般的工具根本无法发现这些"幕后黑手",但IceSword 使用了大量新颖的内核技术, 在这些技术下,那些后门将会是躲无所躲。 如果我们想要内核中的病毒彻底清除掉,那么通过以下操作步骤来实现:将IceSword下载后并运行,进入到查看模块,选中"内核模块"查看其中是否有异样,如图6所示。
IceSword
接着再进入到其中的"SSDT"查看功能,如果存在用红色字体显示的条目,就要小心了,当然有些时候杀毒软件的服务也会在这里用红色字体显示,但大多有明确的关键字,可以很容易地区分好坏。
以上我们深入了解了病毒隐匿的位置,并通过对系统全面的自检,达到了清除病毒的目的。其实病毒并不可怕,只要我们在平时操作中细致有余,加强日常的防范工作,那么系统就会像加上了一层"金刚罩",实现了"百毒不侵"。
