破解病毒隱身術(shù) 揪出隱藏的病毒進程與線程

在的病毒越來越狡猾， 只對感興趣的目標下手， 輕易不會破壞系統(tǒng)， 有的時候即使中毒了， 電腦用戶可能也不知道。 縱使通過“Windows 任務(wù)管理器”查看進程， 也不會發(fā)現(xiàn)什么， 因為病毒對相關(guān)信息進行了隱藏。

　　當你懷疑電腦可能中毒的時候， 你就需要一款進程分析工具， 目前主流的進程分析工具有冰刃、Wsyscheck等。 我們以Wsyscheck【點擊下載】軟件為例介紹如何揪出隱藏的病毒進程和線程。

　　揪出隱藏的進程和線程

　　分析進程是查看電腦是否中毒的捷徑， 是手工殺毒的一項重要操作。 Wsyscheck最大的一個特點就是分析進程， 它通過不同的顏色標注不同安全等級的進程。 在軟件的進程列表中， 正常的系統(tǒng)進程用黑色顯示。 被標注為紅色的， 一般都是非系統(tǒng)的進程， 比如第三方應(yīng)用程序或者病毒。

　　注：Wsyscheck判斷系統(tǒng)進程安全的標準是通過進程屬性完成的。 如果進程屬性的文件廠商信息是“Microsoft Corporation”， 就會將該進程認定為Windows系統(tǒng)進程。

　　在“Windows 任務(wù)管理器”中可以隱藏的進程， 在Wsyscheck中是無法藏身的， 會被用紅色標注出來， 這樣用戶對比兩個進程列表一眼就可以發(fā)現(xiàn)問題所在。 確定隱藏的進程后， 點擊鼠標右鍵， 選擇菜單中的“結(jié)束選擇的進程”命令(圖1)， 這樣就可以徹底結(jié)束進程。 剩下的事情就可以交給殺毒軟件完成了(有可能還需要重新安裝殺毒軟件)。

　　另外， 有的病毒會通過線程插入的方式來進行隱藏， 用Wsyscheck也可以搞定。 在Wsyscheck中， 凡是被線程插入的進程， 都被標注成紫紅色。 選中進程， 在下方顯示該進程包含的所有線程， 注意看“文件廠商”欄， 如果沒有文件廠商， 該線程就有問題。 選中問題線程， 點擊鼠標右鍵， 選擇菜單中的“卸載模塊”命令， 這樣就能將插入的進程的模塊卸載掉了。

　　安全小百科： 不是所有線程插入的模塊都是病毒， 包括迅雷、WinRAR這些常見的應(yīng)用程序也會進行相應(yīng)的線程插入操作。 同樣擁有微軟標簽的進程模塊， 也可能是病毒偽裝的,Wsyscheck無法判斷。 要找出此類病毒， 需要用到更專業(yè)的工具， 今后會介紹此類工具。

　　刪除病毒文件

　　如果你不想用殺毒軟件完成剩下的工作， 或者殺毒軟件無法使用不能馬上重裝， 你可以手工完成病毒的清理工作。 點擊“安全檢查”標簽中的“重啟刪除文件”(圖2)， 點擊“添加待刪文件”按鈕， 在彈出的窗口選擇要刪除的病毒文件， 然后單擊窗口中的“執(zhí)行重啟刪除”按鈕。

　　這時軟件將自動重新啟動系統(tǒng)， 在啟動尚未完成時將病毒文件刪除。 如果病毒使用了驅(qū)動進行自我保護， 那么通過這種方法仍然難以刪除。 應(yīng)該怎么辦呢?可以直接點擊窗口的“Dos刪除文件”標簽(圖3)。

　　選擇要刪除的病毒文件， 點擊“執(zhí)行Dos刪除”按鈕重啟系統(tǒng)。 這時就會看到一個啟動菜單， 選擇其中的“刪除頑固文件”一項(圖4)， Wsyscheck將自動加載一個Dos系統(tǒng)， 然后在Dos系統(tǒng)中自動刪除病毒文件。

　　提醒： 順利清除系統(tǒng)中的病毒文件以后， 還要對被病毒破壞的系統(tǒng)進行修復。 點擊“工具”菜單中的相關(guān)命令， 就可以進行修復隱藏文件設(shè)置、修復安全模式、清除映像劫持等操作。 此外， 該軟件還可以禁用自動播放功能以及禁用Autorun.inf， 從而防范病毒通過閃存等移動設(shè)備進入電腦。