【IT168 专稿】如今网络中充斥着各种各样的病毒，而安全软件工程师也成为了秘一样的工作，到底是如何研究出针对一种病毒而制作出来的针对性杀毒程序的呢？那就要从他们的工作环境说起了，在《黑客帝国III》中如果细心的观众朋友都能从主角的最后对话中有所了解，大致意思就是说，要想解决掉一个病毒，哪怕是再难的病毒，最直接也是最冒险的办法就是先让病毒感染自己。安全软件工程师也正式让截获到的病毒先感染自己的系统在根据出现的症状解决掉这个病毒的。

    一、系统保护
    要想学习安全软件工程师们的工作，首先就得跟他们有个差不多一样的工作平台，一个不怕死的操作系统，找个安全的退路才好。计算机用户都知道2000年左右的时候在网络上开始流传一个非常效率的装机工具GHOST，能够帮助计算机用户用10来分钟的时间安装好一个WIN98的操作系统，这是在当时不可想象的，而也正是因为这个原因他在今后的几年不断发展成为了计算机系统快速部署的一个重要工具。

    1、利用GHOST一键恢复打造不死平台。为了方便起见读者可以使用手边的任何一张带光盘启动的GHOST的系统安装盘作为源光盘用于恢复被损坏的操作系统，这个方法虽然简单，但是消耗的时间是相对比较多的，稍微有一点使用基础的读者应该都能操作，我们就不详细说了。

    2、使用方正多平台管理软件。这是一款专门为方正电脑设计的恢复平台，在品牌电脑出厂之时就已经作好了一个镜象系统存放在磁盘的隐藏分区里，它可以帮助你将系统快速的恢复到出厂状况。优点是整个过程速度相当的快，连安装驱动的过程都可以省略，因为这本来就是为他定制的，缺点就是备份的系统没有经过压缩，很大，占存储空间。而方正多平台管理软件的最大优点是可以想虚拟机一样使用，启动到模拟平台可以在重新启动后将一切本次虚拟平台的操作清除。当然这个软件很多电脑平台都有，如联想的慧盾。

    3、选择硬件还原卡。多用于学校的公用计算机上，为了避免病毒或者学生的误操作导致学校计算机的软件错误而影响学生使用等等，该设备的优点是恢复速度超快，占用空间也很小，保护功能强大，但是没有虚拟平台这项技术，并且现在很多病毒软件也会攻破他。

    当然还有其他一些比较专业的解决办法，这些解决办法都需要一定的资金作为后盾才能完成的，对个人用户意义不大，就不再赘述，而上面这3种方式的选择就是一个仁者见仁，智者见智的问题了。

    二、神器在手所向披靡
    现在说了关键的地方了，到底是什么工具可以让病毒闻风丧胆呢？是一个很高深的软件？是一个很大的反编译程序？还是一个什么设备呢？其实他就是一个体型弱小的ICESWORD，也就是传说中的“冰刃”。这款软件就如同他的名字一样直插病毒的深处，彻底破坏掉病毒的防御体系，从而完成的将他从你的系统中清理出去。

    1、初次见面，多多关照。运行冰刃给人的第一感觉是很简单的，左侧一排导航项，上排简单几个菜单。而冰刃远远不止他的外表那么简单，从他的启动我们就能看出设计者的严谨，曾一段时间里病毒为了保护自己禁止杀毒软件的运行，关闭标题有相关字段的软件为了避免自身被禁用，冰刃在标题栏上采用了随机字符的方式每次启动都会随机取得一串字符。即使这样你的冰刃也有可能无法运行，出现这个情况的时候可以把软件的主程序名称修改后重试，一般可以解决。

    2、工欲善其事，必先利其器。在开始正式剿灭病毒之前需要一个相对稳定的环境，这也是保证病毒能被彻底清除的前提条件。通过文件下的设置选项禁止进程的创建、加强注册表写入以及禁止协件功能，执行上述操作可以让病毒在受到攻击时无法自我保护。这里如果你要配合一些日志软件使用，那么请在打开这些日志扫描软件以后再设置该3项功能。如图一

增强冰刃的查杀效果

    3、庖丁解牛，分步击破。通过CTRL+ALT+DEL可以启用系统资源管理器，在这里我们可以看到计算机后台运行的进程，而这些进程他们都代表着什么意义，有进程没有显示在里面吗？这就是我们破解病毒需要做的第一步，利用冰刃的进程查找可以发现里面的隐藏进程，隐藏进程通常都是一些无法证实其安全性的进程，如果你发现SVCHOST和EXPLORER是隐藏进程，那就可以多在这上面下工夫，因为这两个系统进程默认是不可能隐藏的。小提示：在关闭这些隐藏进程的同时建议关闭掉explorer.exe、iexplore.exe、rundll32.exe这3个进程，他们牵扯了太多的系统文件，本身WINDOWS操作系统对他们就有很强的保护，病毒捆绑在上面清理更不容易，为了病毒清理的彻底关闭这3个进程是明智之举。处理完隐藏进程回过头来看看SSDT,SSDT的全称是System Services Descriptor Table，系统服务描述符表。如果觉得抽象可以这么来理解，SSDT列表中包含了所有API信息，他的重要性可以从部分主动防御软件通过SSDT表来工作就足以体现其的重要性。这里提及SSDT主要是恢复被修改的不正常的SSDT项目，在恢复记录的同时请记录好服务函数所在的地址，在文件处理中将删除相关的文件。如图二

恢复不正常的SSDT项目

    方才对进程和SSDT进行了清理，下面开始处理病毒的尸体文件了，根据刚才清理时记录的文件路径，使用文件清理查找对应的目录，并枚举目录下特定后缀名的文件，强制删除对应的文件。这样就可以避免病毒文件存放在系统中而引发的遗留问题。

    到这里一个简单的病毒基本上处理完了，但是还有一些遗留问题需要做善后处理，如查看启动相关的注册表键值，将和病毒文件相关或陌生的启动键值清理掉，如果有不清楚的启动键值可以通过搜索引擎查找相关关键字，你可以找到很实用的信息来帮助你判定是否应该清理，这里的操作也可以通过冰刃的注册表选项来完成，工具的注释功能应该能从很大程度上帮助用户判定值的好坏。最后清理BHO选项中的相关加载项目，保证恶意信息被彻底清除。

    编者按：做到这里病毒的清理工作基本上已经完成了，病毒的自我复制传播的一些特性基本上解除，为了进一步提高清除的效果，建议读者运行SRENG修复一下关联文件，再使用WINDOWS优化大师的ACTIVEX清理用推荐配置将系统做一个标准的默认修复。基本上可以彻底解决问题，这里只提供了一个清理病毒的思路，希望能达到抛砖引玉的效果。