如何檢測出電腦上的間諜軟件

　　檢測出電腦上的間諜軟件方法：

　　1.在使用某種商業(yè)軟件或免費軟件的工具檢查之前，盡可能的將機器清理干凈。運行防病毒軟件或反間諜軟件掃描，一旦發(fā)現(xiàn)一些異常的項目立即清除。有關(guān)這一主題的內(nèi)容在網(wǎng)絡(luò)上有許多。需要注意的是，在進入下一步之前，專家們強烈建議使用并運行一種以上的殺毒、反間諜軟件掃描以便達到徹底清理。

　　2.建立一個檢查點或者對系統(tǒng)作備份。如果使用的是Windows XP，那再方便不過了，這樣很快就能建立一個系統(tǒng)恢復(fù)點(依次打開：開始菜單――幫助和支持――使用系統(tǒng)還原恢復(fù)對系統(tǒng)的改變，然后點擊創(chuàng)建一個還原點的按鈕)。當然還有其他的方法(對于那些使用Windows家族其他操作系統(tǒng)的人來說是唯一的方法)就是創(chuàng)建一整套系統(tǒng)的備份，包括系統(tǒng)狀態(tài)信息(如果其他辦法都不可行的話，可以使用NTBackup.exe文件;他包含了所有Windows新版本的信息)。這樣的話，萬一在接下來的步驟中出了差錯，還可以將系統(tǒng)恢復(fù)到前一個正確的狀態(tài)。

　　3.關(guān)閉所有不必要的應(yīng)用程序。一些反間諜軟件從電腦運行的所有線程和注冊表中查找不正常跡象，因此先退出所有應(yīng)用程序再啟動反間諜程序運行檢查，可以節(jié)省大量時間。

　　4.運行反間諜程序。在這一步，使用Hijack This這個軟件。將下載回來的Zip文件解壓到你想要的目錄，然后雙擊HijackThis.exe這個執(zhí)行文件，會跳出一個帶有提示“Do a system scan and save a logfile.”的窗口。默認狀態(tài)下，日志文件會保存在“我的文檔”中，在保存的日志文件名稱中加入日期和時間信息很有用，這樣的話，一個名為hijackthis.log的文件就改名為hijackthis-yymmdd:hh.mm.log(hh.mm是24小時制的幾點幾分)。這樣的話，以后任何時候再次運行Hijack This(一旦開始運行，會自動清空以前的日志)，都不必擔心丟失以前的日志。因此，時間標記不愧是個很好的方法，這對將來的日志文件分析非常有用。

　　5.查看Hijack This結(jié)果窗口中顯示的掃描結(jié)果。這個結(jié)果與寫入日志文件的信息是相同的，并且會發(fā)現(xiàn)在每一個項目的左邊都有一個復(fù)選框。如果核選了某些項目，按下“Fix Checked“按鈕， Hijack This就可以將其徹底清除了。會發(fā)現(xiàn)在那里有很多看上去秘密的文件，可以對其進行快速掃描，以決定在這時采取何種操作。實際上，真正存在的問題是識別出哪些文件具有潛在的威脅，哪些是必須的，而哪些是無關(guān)緊要的。此時分析工具能夠幫上我們的大忙。記住，現(xiàn)在不要關(guān)閉Hijack This的查找結(jié)果窗口，也不需要進行核選操作，因為在接下來的步驟中還會返回這個窗口。

　　6.用Hijack This的日志分析程序運行日志文件?？梢允褂肏elp2Go Detective或者Hijack This Analysis這兩個分析工具中的一個。在Hijack This日志里，會發(fā)現(xiàn)每一個入侵(線程)的特殊信息和相關(guān)處理建議，包括哪些可以保留，哪些可以刪除(但卻是無害的)，哪些是可疑文件(或許應(yīng)該刪除，但是還需要進一步分析研究)，以及哪些必須刪除(因為確定是惡意病毒)。這時，可疑檢查所有被確認為惡意病毒的選項，或者與已知的間諜軟件和廣告軟件有關(guān)的選項。

　　7.檢查可疑項目(包括可選的激活項目)。有時可以查看注冊表名稱或者相關(guān)文件和目錄信息，來檢查即使通過分析程序(使用Hijack This很明顯發(fā)現(xiàn)的)也沒有識別出的項目，這是可能是故意安裝或使用的程序的一部分。這些項目經(jīng)常會被單獨的遺留下來。如果檢查程序和人為的都沒有發(fā)現(xiàn)這些項目，安全選項就會將備份然后刪除(然而如果采取了這個步驟，那么要挽救這種狀況只有存儲一份備份文件或者返回到前一個恢復(fù)狀態(tài)。)如果想知道在查看的是什么文件，就進入下一個附加步驟，用google或其他搜索工具搜索項目的名稱。在99%的情況下都可以在兩分鐘或更少時間內(nèi)作出批準與否的決定。只有一少部分項目，最顯著的是dll文件不僅僅需要通過文件名的搜索驗證來裁留。

　　8.在Hijack This結(jié)果窗口核選有害文件和不確定的可疑項目，然后按下“Fix checked”按鈕。也可以在結(jié)果窗口中滾動查看項目，并通過單擊來高亮選擇單獨的項目，接著通過點擊"Info on selected item…."(選中項目的信息……)來獲取這些項目的額外信息。這時來查看這些信息比在上一步驟查看更合適，因為這時分析工具的速度更快而且面向?qū)ο蟾押谩?/p>

　　9.重啟系統(tǒng)查看運行情況。如果系有統(tǒng)運行不正?，F(xiàn)象，如應(yīng)用程序不工作或變得異常，或者系統(tǒng)看上去不太對勁時，需要決定是否需要返回到恢復(fù)狀態(tài)或備份狀態(tài)。如果Windows不能完成啟動，在系統(tǒng)啟動之初按下F8鍵，直到啟動進入安全啟動菜單，選擇最后一次正確的配置。這樣啟動就沒有問題了，系統(tǒng)啟動之后還需要退回到恢復(fù)點，或者恢復(fù)到在第二步備份的狀態(tài)。如果接收這個選項的話，就不需要保存改動了，可以直接越過第10步。

　　10.最后再運行依次Hijack This掃描：重復(fù)步驟4，但是需要注意更改保存日志文件的日期標簽。可以掃描結(jié)果來確定移動的項目已經(jīng)被徹底清除，或者只需保存電腦狀態(tài)的快照，快速清除就可以了(這樣會對下一次進行同樣的操作產(chǎn)生一個有意義的參照狀態(tài))。