系統(tǒng)自檢四部曲

1、系統(tǒng)自檢四部曲 當(dāng)系統(tǒng)的運(yùn)行速度莫名其妙變慢時(shí)，我們第一時(shí)間想到的就是系統(tǒng)中了病毒，可究竟是不是真的中毒了呢?很多朋友都會打開殺毒軟件掃描系統(tǒng)，結(jié)果可能什么也沒發(fā)現(xiàn)。其實(shí)只要掌握了系統(tǒng)自檢的四個(gè)方法，就能快速查出系統(tǒng)是否中毒，省下大把的時(shí)間。 查找病毒進(jìn)程 任何病毒都有自身的進(jìn)程，但有些病毒進(jìn)程采用了障眼法，導(dǎo)致我們無法尋其蹤跡。打開任務(wù)管理器，查找是否有可疑進(jìn)程，這需要我們對進(jìn)程的知識有一定的了解。病毒很喜歡使用與系統(tǒng)進(jìn)程相似的名字，比如用“svchost.exe”進(jìn)程名冒充正常的系統(tǒng)進(jìn)程“svchost.exe”，僅僅一字之差，我們在檢查的時(shí)候一定要仔細(xì)。如果出現(xiàn)這種不正常的進(jìn)程，幾乎可以

2、肯定它就是病毒。還有一種可能性是病毒主程序的名稱和正常系統(tǒng)進(jìn)程名一樣，但是路徑不同。例如svchost.exe的位置應(yīng)該是c:windowssystem32目錄，若這個(gè)進(jìn)程位于其它目錄，也要引起注意。借助專業(yè)的進(jìn)程管理工具Procexp，可以有效查出此類冒充的 病毒進(jìn)程。 檢測系統(tǒng)啟動項(xiàng)和服務(wù) 病毒為了隨系統(tǒng)一起啟動，通常會在注冊表的啟動項(xiàng)中動手腳。我們可以通過“系統(tǒng)配置實(shí)用程序”來檢查系統(tǒng)啟動項(xiàng)。 運(yùn)行“msconfig”打開“系統(tǒng)配置實(shí)用程序”，切換到“啟動”標(biāo)簽，在這里就可以對系統(tǒng)的啟動項(xiàng)進(jìn)程檢查了。病毒會使用各種方法來迷惑用戶，所以要仔細(xì)區(qū)分病毒的啟動信息。比如上文提到的“svchos

3、t.exe”可能位于不正常的目錄中，從這里就能看出端倪。如果有不認(rèn)識的啟動項(xiàng)目，可以通過搜索引擎來查找相關(guān)信息，查到病毒進(jìn)程后就結(jié)束它。 “服務(wù)”也是病毒常下手的地方，病毒在“服務(wù)”中搞小動作同樣可以實(shí)現(xiàn)隨系統(tǒng)啟動的目的。進(jìn)入控制面板，雙擊“管理工具/服務(wù)”，查找病毒添加的服務(wù)。注意看服務(wù)的描述部分，這通常是找出病毒服務(wù)比較有效的辦法。但是如果病毒采用rootkit技術(shù)將服務(wù)隱藏，這就需要使用下文的系統(tǒng)內(nèi)核檢測。 檢測系統(tǒng)內(nèi)核 所謂的rootkit技術(shù)，就是通過修改系統(tǒng)的內(nèi)核讓病毒的進(jìn)程、服務(wù)以及文件等隱藏起來，躲過用戶的查殺，因此在做系統(tǒng)自檢的時(shí)候，內(nèi)核也是必須檢查的地方。檢測系統(tǒng)內(nèi)核需要使

4、用專業(yè)的軟件，例如著名的安全工具“IceSword”就具有系統(tǒng)內(nèi)核的檢測功能。 運(yùn)行IceSword后，進(jìn)入查看模塊，選中“內(nèi)核模塊”查看其中是否有異樣。接著再進(jìn)入其中的“SSDT”查看功能，如果存在用紅色字體顯示的條目，就要小心了，例如著名的木馬病毒“Pcshare”就會在這里被檢測出來(如圖2)。當(dāng)然有時(shí)候殺毒軟件的服務(wù)也會在這里以紅色字體顯示，但大多有明確的關(guān)鍵字，可以很容易地區(qū)分好壞。 最后，我們要尋找的就是病毒產(chǎn)生的可執(zhí)行文件了。通過上面的檢測，已得知病毒主程序的路徑，找到后將它刪除即可。有時(shí)候這樣做還是不夠的，因?yàn)椴《竞芸赡苓€有其它拷貝，例如“熊貓燒香”病毒就會向其它磁盤分區(qū)拷貝病毒文件，還要檢查每個(gè)分區(qū)下是否有病毒文件，最常見的病毒文件就是“Autorun.inf”了。這里千萬要注意用右鍵點(diǎn)擊盤符，再選擇“打開”，如果