新闻资讯 News

新闻资讯 News

破解病毒“隐身术”

来源:上海IT外包|上海电脑维修 作者:上海IT外包|上海电脑维修 日期:2009/10/30

现在的病毒越来越“聪明”,最对感兴趣的目标下手,轻易不会破环系统,有的时候即使中毒了,你也可能不知道。纵使通过“Windows 任务管理器”查看进程,也不会发现什么,因为病毒对相关信息进行了隐藏。

  当你怀疑电脑可能中毒的时候,你就需要一款进程分析工具,目前主流的进程分析工具有冰刃、Wsyscheck等。我们选择的是Wsyscheck以它为例介绍如何揪出隐藏的病毒进程和线程。

揪出隐藏的进程和线程

  分析进程是查看是电脑否中毒的捷径,是手工杀毒的一项重要操作。Wsyscheck最大的一个特点就是分析进程,它通过不同的颜色标注不同安全等级的进程。在软件的进程列表中,正常的系统进程用黑色显示。被标注为红色的,一般都是非系统的进程,比如第三方应用程序或者病毒。

  安全小百科:Wsyscheck判断系统进程安全的标准是通过进程属性完成的。如果进程属性的文件厂商信息是“Microsoft Corporation”,就会将该进程认定为Windows系统的。

  在“Windows 任务管理器”中可以隐藏的进程,在Wsyscheck中是无法藏身的,会被红色标注出来,这样用户对比两个进程列表一眼就可以发现问题所在。确定隐藏的进程后,点击鼠标右键,选择菜单中的“结束选择的进程”命令(图1),这样就可以彻底结束进程。剩下的事情就可以交给杀毒软件完成了(有可能还需要重新安装杀毒软件)。



  另外,有的病毒会通过线程插入的方式来进行隐藏,用Wsyscheck也可以搞定。在Wsyscheck中,凡是被线程插入的进程,都被标注成紫红色。选中进程,在下方显示该进程包含的所有线程,注意看“文件厂商”栏,如果没有文件厂商,该线程就有问题。选中问题线程,点击鼠标右键,选择菜单中的“卸载模块”命令,这样就能将插入的进程的模块卸载掉了。

  安全小百科:不是所有线程插入的模块都是病毒,包括迅雷、WinRAR这些常见的应用程序也会进行相应的线程插入操作。同样拥有微软标签的进程模块,也可能是病毒伪装的,Wsyscheck无法判断。要找出此类病毒,需要用到更专业的工具,今后会介绍此类功工具。

删除顽固文件

  如果你不想用杀毒软件完成剩下的工作,或者杀毒软件无法使用不能马上重装,你可以手工完成病毒的清理工作。点击“安全检查”标签中的“重启删除文件”(图2),点击“添加待删文件”按钮,在弹出的窗口选择要删除的病毒文件,然后单击窗口中的“执行重启删除”按钮。



  这时软件将自动重新启动系统,在启动尚未完成时将病毒文件删除。如果病毒使用了驱动进行自我保护,那么通过这种方法仍然难以删除。应该怎么办呢?可以直接点击窗口的“Dos删除文件”标签(图3)。



  选择要删除的病毒文件,点击“执行Dos删除”按钮重启系统。这时就会看到一个启动菜单,选择其中的“删除顽固文件”这项(图4),Wsyscheck将自动加载一个Dos系统,然后在Dos系统中自动删除设置的文件。



  安全小百科:顺利清除系统中的病毒文件以后,还要对被病毒破坏的系统属性进行修复。点击“工具”菜单中的相关命令,就可以修复隐藏文件设置、修复安全模式、清除映像劫持等操作。此外,该软件还可以禁用自动播放功能以及禁用Autorun.inf,从而防范病毒通过闪存等移动设备进入电脑。

每周提示

  从国庆长假开始,感染型病毒迅速蔓延。综合国内多家安全厂商的信息,国庆期间大约有300万台电脑被感染病毒,这其中感染量较大的包括“Win32病毒装载者”、“玛格尼亚”变种、“小广告下载器”以及“剑八终结者木马”等几种。

  通过对这些病毒的行为分析可以看出,这些病毒主要属于“木马下载者”和“盗号木马”这两大类。在国庆长假结束后,这些病毒传播速度并没有下降。

上海IT外包|上海电脑维修| www.pc000.com  上海徽南电子科技有限公司