破解病毒隐身术 揪出隐藏的病毒进程与线程

现在的病毒越来越狡猾，只对感兴趣的目标下手，轻易不会破坏系统，有的时候即使中毒了，电脑用户可能也不知道。纵使通过“Windows 任务管理器”查看进程，也不会发现什么，因为病毒对相关信息进行了隐藏。

当你怀疑电脑可能中毒的时候，你就需要一款进程分析工具，目前主流的进程分析工具有冰刃、Wsyscheck等。我们以Wsyscheck软件为例介绍如何揪出隐藏的病毒进程和线程。

揪出隐藏的进程和线程

分析进程是查看电脑是否中毒的捷径，是手工杀毒的一项重要操作。Wsyscheck最大的一个特点就是分析进程，它通过不同的颜色标注不同安全等级的进程。在软件的进程列表中，正常的系统进程用黑色显示。被标注为红色的，一般都是非系统的进程，比如第三方应用程序或者病毒。

注：Wsyscheck判断系统进程安全的标准是通过进程属性完成的。如果进程属性的文件厂商信息是“Microsoft Corporation”，就会将该进程认定为Windows系统进程。

在“Windows 任务管理器”中可以隐藏的进程，在Wsyscheck中是无法藏身的，会被用红色标注出来，这样用户对比两个进程列表一眼就可以发现问题所在。确定隐藏的进程后，点击鼠标右键，选择菜单中的“结束选择的进程”命令(图1)，这样就可以彻底结束进程。剩下的事情就可以交给杀毒软件完成了(有可能还需要重新安装杀毒软件)。

另外，有的病毒会通过线程插入的方式来进行隐藏，用Wsyscheck也可以搞定。在Wsyscheck中，凡是被线程插入的进程，都被标注成紫红色。选中进程，在下方显示该进程包含的所有线程，注意看“文件厂商”栏，如果没有文件厂商，该线程就有问题。选中问题线程，点击鼠标右键，选择菜单中的“卸载模块”命令，这样就能将插入的进程的模块卸载掉了。

安全小百科： 不是所有线程插入的模块都是病毒，包括迅雷、WinRAR这些常见的应用程序也会进行相应的线程插入操作。同样拥有微软标签的进程模块，也可能是病毒伪装的,Wsyscheck无法判断。要找出此类病毒，需要用到更专业的工具，今后会介绍此类工具。

删除病毒文件

如果你不想用杀毒软件完成剩下的工作，或者杀毒软件无法使用不能马上重装，你可以手工完成病毒的清理工作。点击“安全检查”标签中的“重启删除文件”(图2)，点击“添加待删文件”按钮，在弹出的窗口选择要删除的病毒文件，然后单击窗口中的“执行重启删除”按钮。

这时软件将自动重新启动系统，在启动尚未完成时将病毒文件删除。如果病毒使用了驱动进行自我保护，那么通过这种方法仍然难以删除。应该怎么办呢?可以直接点击窗口的“Dos删除文件”标签(图3)。

选择要删除的病毒文件，点击“执行Dos删除”按钮重启系统。这时就会看到一个启动菜单，选择其中的“删除顽固文件”一项(图4)，Wsyscheck将自动加载一个Dos系统，然后在Dos系统中自动删除病毒文件。

提醒： 顺利清除系统中的病毒文件以后，还要对被病毒破坏的系统进行修复。点击“工具”菜单中的相关命令，就可以进行修复隐藏文件设置、修复安全模式、清除映像劫持等操作。此外，该软件还可以禁用自动播放功能以及禁用Autorun.inf，从而防范病毒通过闪存等移动设备进入电脑。