系統(tǒng)自檢四部曲

1、系統(tǒng)自檢四部曲 當系統(tǒng)的運行速度莫名其妙變慢時，我們第一時間想到的就是系統(tǒng)中了病毒，可究竟是不是真的中毒了呢?很多朋友都會打開殺毒軟件掃描系統(tǒng)，結(jié)果可能什么也沒發(fā)現(xiàn)。其實只要掌握了系統(tǒng)自檢的四個方法，就能快速查出系統(tǒng)是否中毒，省下大把的時間。 查找病毒進程 任何病毒都有自身的進程，但有些病毒進程采用了障眼法，導致我們無法尋其蹤跡。打開任務管理器，查找是否有可疑進程，這需要我們對進程的知識有一定的了解。病毒很喜歡使用與系統(tǒng)進程相似的名字，比如用“svchost.exe”進程名冒充正常的系統(tǒng)進程“svchost.exe”，僅僅一字之差，我們在檢查的時候一定要仔細。如果出現(xiàn)這種不正常的進程，幾乎可以

2、肯定它就是病毒。還有一種可能性是病毒主程序的名稱和正常系統(tǒng)進程名一樣，但是路徑不同。例如svchost.exe的位置應該是c:windowssystem32目錄，若這個進程位于其它目錄，也要引起注意。借助專業(yè)的進程管理工具Procexp，可以有效查出此類冒充的 病毒進程。 檢測系統(tǒng)啟動項和服務 病毒為了隨系統(tǒng)一起啟動，通常會在注冊表的啟動項中動手腳。我們可以通過“系統(tǒng)配置實用程序”來檢查系統(tǒng)啟動項。 運行“msconfig”打開“系統(tǒng)配置實用程序”，切換到“啟動”標簽，在這里就可以對系統(tǒng)的啟動項進程檢查了。病毒會使用各種方法來迷惑用戶，所以要仔細區(qū)分病毒的啟動信息。比如上文提到的“svchos

3、t.exe”可能位于不正常的目錄中，從這里就能看出端倪。如果有不認識的啟動項目，可以通過搜索引擎來查找相關信息，查到病毒進程后就結(jié)束它。 “服務”也是病毒常下手的地方，病毒在“服務”中搞小動作同樣可以實現(xiàn)隨系統(tǒng)啟動的目的。進入控制面板，雙擊“管理工具/服務”，查找病毒添加的服務。注意看服務的描述部分，這通常是找出病毒服務比較有效的辦法。但是如果病毒采用rootkit技術(shù)將服務隱藏，這就需要使用下文的系統(tǒng)內(nèi)核檢測。 檢測系統(tǒng)內(nèi)核 所謂的rootkit技術(shù)，就是通過修改系統(tǒng)的內(nèi)核讓病毒的進程、服務以及文件等隱藏起來，躲過用戶的查殺，因此在做系統(tǒng)自檢的時候，內(nèi)核也是必須檢查的地方。檢測系統(tǒng)內(nèi)核需要使

4、用專業(yè)的軟件，例如著名的安全工具“IceSword”就具有系統(tǒng)內(nèi)核的檢測功能。 運行IceSword后，進入查看模塊，選中“內(nèi)核模塊”查看其中是否有異樣。接著再進入其中的“SSDT”查看功能，如果存在用紅色字體顯示的條目，就要小心了，例如著名的木馬病毒“Pcshare”就會在這里被檢測出來(如圖2)。當然有時候殺毒軟件的服務也會在這里以紅色字體顯示，但大多有明確的關鍵字，可以很容易地區(qū)分好壞。 最后，我們要尋找的就是病毒產(chǎn)生的可執(zhí)行文件了。通過上面的檢測，已得知病毒主程序的路徑，找到后將它刪除即可。有時候這樣做還是不夠的，因為病毒很可能還有其它拷貝，例如“熊貓燒香”病毒就會向其它磁盤分區(qū)拷貝病毒文件，還要檢查每個分區(qū)下是否有病毒文件，最常見的病毒文件就是“Autorun.inf”了。這里千萬要注意用右鍵點擊盤符，再選擇“打開”，如果