破解病毒隐身术 揪出隐藏的病毒进程与线程

  • 来源: 天极网 作者: 李祥敬   2009-10-28/17:37
  • 现在的病毒越来越狡猾,只对感兴趣的目标下手,轻易不会破坏系统,有的时候即使中毒了,电脑用户可能也不知道。纵使通过“Windows 任务管理器”查看进程,也不会发现什么,因为病毒对相关信息进行了隐藏。

    当你怀疑电脑可能中毒的时候,你就需要一款进程分析工具,目前主流的进程分析工具有冰刃、Wsyscheck等。我们以Wsyscheck软件为例介绍如何揪出隐藏的病毒进程和线程。

    揪出隐藏的进程和线程

    分析进程是查看电脑是否中毒的捷径,是手工杀毒的一项重要操作。Wsyscheck最大的一个特点就是分析进程,它通过不同的颜色标注不同安全等级的进程。在软件的进程列表中,正常的系统进程用黑色显示。被标注为红色的,一般都是非系统的进程,比如第三方应用程序或者病毒。

    注:Wsyscheck判断系统进程安全的标准是通过进程属性完成的。如果进程属性的文件厂商信息是“Microsoft Corporation”,就会将该进程认定为Windows系统进程。

    在“Windows 任务管理器”中可以隐藏的进程,在Wsyscheck中是无法藏身的,会被用红色标注出来,这样用户对比两个进程列表一眼就可以发现问题所在。确定隐藏的进程后,点击鼠标右键,选择菜单中的“结束选择的进程”命令(图1),这样就可以彻底结束进程。剩下的事情就可以交给杀毒软件完成了(有可能还需要重新安装杀毒软件)。

    点击放大此图片

    另外,有的病毒会通过线程插入的方式来进行隐藏,用Wsyscheck也可以搞定。在Wsyscheck中,凡是被线程插入的进程,都被标注成紫红色。选中进程,在下方显示该进程包含的所有线程,注意看“文件厂商”栏,如果没有文件厂商,该线程就有问题。选中问题线程,点击鼠标右键,选择菜单中的“卸载模块”命令,这样就能将插入的进程的模块卸载掉了。

    安全小百科: 不是所有线程插入的模块都是病毒,包括迅雷、WinRAR这些常见的应用程序也会进行相应的线程插入操作。同样拥有微软标签的进程模块,也可能是病毒伪装的,Wsyscheck无法判断。要找出此类病毒,需要用到更专业的工具,今后会介绍此类工具。

    删除病毒文件

    如果你不想用杀毒软件完成剩下的工作,或者杀毒软件无法使用不能马上重装,你可以手工完成病毒的清理工作。点击“安全检查”标签中的“重启删除文件”(图2),点击“添加待删文件”按钮,在弹出的窗口选择要删除的病毒文件,然后单击窗口中的“执行重启删除”按钮。

    这时软件将自动重新启动系统,在启动尚未完成时将病毒文件删除。如果病毒使用了驱动进行自我保护,那么通过这种方法仍然难以删除。应该怎么办呢?可以直接点击窗口的“Dos删除文件”标签(图3)。

    选择要删除的病毒文件,点击“执行Dos删除”按钮重启系统。这时就会看到一个启动菜单,选择其中的“删除顽固文件”一项(图4),Wsyscheck将自动加载一个Dos系统,然后在Dos系统中自动删除病毒文件。

    提醒: 顺利清除系统中的病毒文件以后,还要对被病毒破坏的系统进行修复。点击“工具”菜单中的相关命令,就可以进行修复隐藏文件设置、修复安全模式、清除映像劫持等操作。此外,该软件还可以禁用自动播放功能以及禁用Autorun.inf,从而防范病毒通过闪存等移动设备进入电脑。


    评论 {{userinfo.comments}}

    {{money}}

    {{question.question}}

    A {{question.A}}
    B {{question.B}}
    C {{question.C}}
    D {{question.D}}
    提交

    驱动号 更多