系統自帶的最不起眼又是最強的防毒工具

General 更新 2024年11月16日

  Windows系統集成了無數的工具,它們各司其職,滿足使用者不同的應用需求。其實這些工具“多才多藝”,如果你有足夠的想象力並且善於挖掘,你會發現它們除了本行之外還可以幫我們防毒。

  一、工作管理員給病毒背後一刀

  windows工作管理員是大家對程序進行管理的主要工具,在它的“程序”選項卡中能檢視當前系統程序資訊。在預設設定下,一般只能看到映像名稱、使用者名稱、cpu佔用、記憶體使用等幾項,而更多如I/O讀寫、虛擬記憶體大小等資訊卻被隱藏了起來。可別小這些被隱藏的資訊,當系統出現莫名其妙的故障時,沒準就能從它們中間找出突破口。

  1.查殺會自動消失的雙程序木馬

  前段時間朋友的電腦中了某木馬,通過工作管理員查出該木馬程序為“system.exe”,終止它後再重新整理,它又會復活。進入安全模式把c:windowssystem32system.exe刪除,重啟後它又會重新載入,怎麼也無法徹底清除它。從此現象來看,朋友中的應該是雙程序木馬。這種木馬有監護程序,會定時進行掃描,一旦發現被監護的程序遭到查殺就會復活它。而且現在很多雙程序木馬互為監視,互相復活。因此查殺的關鍵是找到這“互相依靠”的兩個木馬檔案。藉助工作管理員的PID標識可以找到木馬程序。

  調出Windows工作管理員,首先在“檢視→選擇列”中勾選“PID***程序識別符號***”,這樣返回工作管理員視窗後可以看到每一個程序的PID標識。這樣當我們終止一個程序,它再生後通過PID標識就可以找到再生它的父程序。啟動命令提示符視窗,執行“taskkill /im system.exe /f”命令。重新整理一下電腦後重新輸入上述命令如圖1,可以看到這次終止的system.exe程序的PID為1536,它屬於PID為676的某個程序。也就是說PID為1536的system.exe程序是由PID為676的程序建立的。返回工作管理員,通過查詢程序PID得知它就是“internet.exe”程序程序。***如圖***

  找到了元凶就好辦了,現在重新啟動系統進入安全模式,使用搜索功能找到木馬檔案c:windowsinternet.exe ,然後將它們刪除即可。前面無法刪除system.exe,主要是由於沒有找到internet.exe***且沒有刪除其啟動鍵值***,導致重新進入系統後internet.exe復活木馬。

  2.揪出狂寫硬碟的P2P程式

  單位一電腦一開機上網就發現硬碟燈一直閃個不停,硬碟狂旋轉。顯然是本機有什麼程式正在進行資料的讀取,但是反覆防毒也沒發現病毒、木馬等惡意程式。

  開啟該電腦並上網,按Ctrl+Alt+Del鍵啟動了工作管理員,切換到“程序”選項卡,點選選單命令“檢視→選擇列”,同時勾選上“I/O寫入”和“I/O寫入位元組”兩項。確定後返回工作管理員,發現一個陌生的程序hidel.exe,雖然它佔用的CPU和記憶體並不是特別大,但是I/O的寫入量卻大得驚人,看來就是它在搗鬼了,趕緊右擊它並選擇“結束程序”終止,果然硬碟讀寫恢復正常了。

  二、系統備份工具防毒於無形

  筆者曾遭遇一個無法刪除的病毒“C:Program FilesCommon FilesPCSuiterasdf.exe”,同時也無法複製這個檔案,如何清除它。筆者通過系統備份工具清除了該病毒,操作過程如下:

  第一步:單擊“開始→所有程式→附件→系統工具→備份”,開啟備份或還原嚮導視窗,備份專案選擇“讓我選擇要備份的內容”,定位到“C:Program FilesCommon FilesPCSuite”。

  第二步:繼續執行備份嚮導操作,將備份檔案儲存為“g:virus.bkf”,備份選項勾選“使用卷陰影複製”,剩餘操作按預設設定完成備份。

  第三步:雙擊“g:virus.bak”,開啟備份或還原嚮導,把備份還原

  “g:virus”。接著開啟“g:virus”,使用記事本開啟病毒檔案“rasdf.exe”,然後隨便刪除其中幾行程式碼並儲存,這樣病毒就被我們使用記事本破壞了***它再也無法執行***。

  第四步:操作同上,重新制作“k:virus”的備份為“k:virus1.bkf”。然後啟動還原嚮導,還原位置選擇“C:Program FilesCommon FilesPCSuite”,還原選項選擇“替換現有檔案”。這樣,雖然當前病毒正在執行,但備份元件仍然可以使用壞的病毒檔案替換當前病毒。還原完成後,系統提示重新啟動,重啟後病毒就不會啟動了***因為它已被記事本破壞***。

  三、記事本借刀殺人

  1.雙程序木馬的查殺

  現在,越來越多的木馬採用雙程序守護技術保護自己,就是兩個擁有同樣功能的程式碼程式,不斷地檢測對方是否已經被別人終止,如果發現對方已經被終止了,那麼又開始建立對方,這給我們的查殺帶來很大的困難。不過,此類木馬也有“軟肋”,它只通過程序列表程序名稱來判斷被守護程序是否存在。這樣,我們只要用記事本程式來替代木馬程序,就可以達到“欺騙”守護程序的目的。

  下面以某變種木馬的查殺為例。中招該木馬後,木馬的“internet.exe”和“systemtray.exe”兩個程序會互相監視。當然,我們中招的時候大多不知道木馬具體的監護程序。不過,通過程序名稱可以知道,“systemtray.exe”是異常的程序,因為系統正常程序中沒有該程序。下面使用替換方法來查殺該木馬。

  第一步:單擊“開始→執行”,輸入“Msinfo32”開啟系統資訊視窗,展開“系統摘要→軟體環境→正在執行任務”,這裡可以看到“systemtray.exe”路徑在“C:WindowsSystem32”下。

  第二步:開啟“C:WindowsSystem32”,複製記事本程式“notepad.exe”到“D:” ,同時重新命名為“systemtray.exe”。

  第三步:開啟記事本程式,輸入下列程式碼,儲存為“shadu.bat”,放置在桌面***括號為註釋,無須輸入***:

  @echo off

  Taskkill /f /im systemtray.exe ***使用taskkill命令強行終止“systemtray.exe”程序***

  Delete C:WindowsSystem32systemtray.exe ***刪除病毒檔案***

  Copy d:systemtray.exe C:WindowsSystem32***替換病毒檔案***

  第四步:現在只要在桌面執行“shadu.bat”,系統會將“systemtray.exe”程序終止並刪除,同時把改名的記事本程式複製到系統目錄。這樣,守護程序會“誤以為”被守護程序還存在,它會立刻啟動一個記事本程式。

  第五步:接下來我們只要找出監視程序並刪除即可,在命令提示符輸入:

  “taskkill /f /im systemtray.exe ”,將守護程序再生的“systemtray.exe”終止,可以看到“systemtray.exe”程序是由“PID 3288的程序”建立的,開啟工作管理員可以看到“PID 3288的程序”為“internet.exe”,這就是再生程序的“元凶”。

  第六步:按照第一步方式,開啟系統資訊視窗可以看到“internet.exe”也位於系統目錄,終止“internet.exe”程序並進入系統目錄把上述兩個檔案刪除即可。

  2.使病毒失效並刪除

  大家知道,檔案都是由編碼組成的,記事本程式理論上可以開啟任意檔案***只不過有些會顯示為亂碼***。我們可以將病毒開啟方式關聯到記事本,使之啟動後變成由記事本開啟,失去作惡的功能。比如,一些頑固病毒常常會在登錄檔的“HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”等啟動位置生成難以刪除的鍵值,達到惡意啟動的目的。下面使用記事本來“廢”掉病毒的生命力。

  第一步:啟動命令提示符,輸入“ftype exefile=notepad.exe %1”,把所有EXE程式開啟方式關聯到記事本程式,重啟系統後我們會發現桌面自動啟動好幾個程式,這裡包括系統正常的程式如輸入法、音量調整程式等,當然也包括惡意啟動的流氓程式,不過現在都被記事本打開了。

  第二步:根據記事本視窗標題找到病毒程式,比如上例的systemtray.exe程式,找到這個記事本視窗後,單擊“檔案→另存為”,我們就可以看到病毒具體路徑在“C:WindowsSystem32”下。現在關掉記事本視窗,按上述路徑提示進入系統目錄刪除病毒即可。

  第三步:刪除病毒後就可以刪除病毒啟動鍵值了,接著重啟電腦,按住F8,然後在安全模式選單選擇“帶命令提示的安全模式”,進入系統後會自動開啟命令提示符。輸入“ftype exefile="%1"%*”恢復exe檔案開啟方式即可。

  四、登錄檔映像劫持讓病毒沒脾氣

  現在病毒都會採用IFO的技術,通俗的講法是映像劫持,利用的是登錄檔中的如下鍵值

  HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options位置來改變程式呼叫的,而病毒卻利用此處將正常的防毒軟體給偷換成病毒程式。恰恰相反,讓我們自己可以利用此處欺瞞病毒木馬,讓它實效。可謂,瞞天過海,還治其人。

  下面我們以遮蔽某未知病毒KAVSVC.EXE為例,操作方法如下:

  第一步:先建立以下一文字檔案,輸入以下內容,另存為1.reg

  Windows Registry Editor Version 5.00

  [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKAVSVC.EXE]

  "Debugger"="d:\1.exe"

  [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKAVSVC.EXE]

  "Debugger"="d:\1.exe"

  ***注:第一行程式碼下有空行。***

  第二步:雙擊匯入該reg檔案後,確定。

  第三步:點“開始→執行”後,輸入KAVSVC.EXE。

  提示:1.exe可以是任意無用的檔案,是我們隨意建立一個文字檔案後將字尾名.txt改為.exe的,

  總結:當我們飽受病毒木馬的折磨,在防毒軟體無能為力或者感覺“殺雞焉用宰牛刀”時,不妨運用系統工具進行病毒木馬的查殺,說不定會起到意想不到的效果。

助孕有哪些方法
世界體型最大毒蛇
相關知識
系統自帶的最不起眼又是最強的防毒工具
如何使用系統自帶的遠端控制
如何關閉電腦作業系統自帶的防火牆
怎樣關閉聯想筆記本里系統自帶的開機聲音
怎麼關閉系統自帶的防火牆
系統自帶的截圖工具無法儲存圖片怎麼辦
系統自帶防火牆的設定方法是什麼
系統自帶防火牆的設定方法是什麼
如何開啟系統自帶的防火牆
如何用系統自帶工具解除安裝計算機上的軟體