Windows系統(tǒng)集成了無(wú)數(shù)的工具，它們各司其職，滿足用戶(hù)不同的應(yīng)用需求。其實(shí)這些工具“多才多藝”，如果你有足夠的想象力并且善于挖掘，你會(huì)發(fā)現(xiàn)它們除了本行之外還可以幫我們殺毒。

　　一、任務(wù)管理器給病毒背后一刀

　　windows任務(wù)管理器是大家對(duì)進(jìn)程進(jìn)行管理的主要工具，在它的“進(jìn)程”選項(xiàng)卡中能查看當(dāng)前系統(tǒng)進(jìn)程信息。在默認(rèn)設(shè)置下，一般只能看到映像名稱(chēng)、用戶(hù)名、cpu占用、內(nèi)存使用等幾項(xiàng)，而更多如I/O讀寫(xiě)、虛擬內(nèi)存大小等信息卻被隱藏了起來(lái)?？蓜e小看了這些被隱藏的信息，當(dāng)系統(tǒng)出現(xiàn)莫名其妙的故障時(shí)，沒(méi)準(zhǔn)就能從它們中間找出突破口。

　　1.查殺會(huì)自動(dòng)消失的雙進(jìn)程木馬

　　前段時(shí)間朋友的電腦中了某木馬，通過(guò)任務(wù)管理器查出該木馬進(jìn)程為“system.exe”，終止它后再刷新，它又會(huì)復(fù)活。進(jìn)入安全模式把c:windowssystem32system.exe刪除，重啟后它又會(huì)重新加載，怎么也無(wú)法徹底清除它。從此現(xiàn)象來(lái)看，朋友中的應(yīng)該是雙進(jìn)程木馬。這種木馬有監(jiān)護(hù)進(jìn)程，會(huì)定時(shí)進(jìn)行掃描，一旦發(fā)現(xiàn)被監(jiān)護(hù)的進(jìn)程遭到查殺就會(huì)復(fù)活它。而且現(xiàn)在很多雙進(jìn)程木馬互為監(jiān)視，互相復(fù)活。因此查殺的關(guān)鍵是找到這“互相依靠”的兩個(gè)木馬文件。借助任務(wù)管理器的PID標(biāo)識(shí)可以找到木馬進(jìn)程。

　　調(diào)出Windows任務(wù)管理器，首先在“查看→選擇列”中勾選“PID(進(jìn)程標(biāo)識(shí)符)”，這樣返回任務(wù)管理器窗口后可以看到每一個(gè)進(jìn)程的PID標(biāo)識(shí)。這樣當(dāng)我們終止一個(gè)進(jìn)程，它再生后通過(guò)PID標(biāo)識(shí)就可以找到再生它的父進(jìn)程。啟動(dòng)命令提示符窗口，執(zhí)行“taskkill /im system.exe /f”命令。刷新一下電腦后重新輸入上述命令如圖1，可以看到這次終止的system.exe進(jìn)程的PID為1536，它屬于PID為676的某個(gè)進(jìn)程。也就是說(shuō)PID為1536的system.exe進(jìn)程是由PID為676的進(jìn)程創(chuàng)建的。返回任務(wù)管理器，通過(guò)查詢(xún)進(jìn)程PID得知它就是“internet.exe”進(jìn)程進(jìn)程。(如圖)

　　找到了元兇就好辦了，現(xiàn)在重新啟動(dòng)系統(tǒng)進(jìn)入安全模式，使用搜索功能找到木馬文件c:windowsinternet.exe ，然后將它們刪除即可。前面無(wú)法刪除system.exe，主要是由于沒(méi)有找到internet.exe(且沒(méi)有刪除其啟動(dòng)鍵值)，導(dǎo)致重新進(jìn)入系統(tǒng)后internet.exe復(fù)活木馬。

　　2.揪出狂寫(xiě)硬盤(pán)的P2P程序

　　單位一電腦一開(kāi)機(jī)上網(wǎng)就發(fā)現(xiàn)硬盤(pán)燈一直閃個(gè)不停，硬盤(pán)狂旋轉(zhuǎn)。顯然是本機(jī)有什么程序正在進(jìn)行數(shù)據(jù)的讀取，但是反復(fù)殺毒也沒(méi)發(fā)現(xiàn)病毒、木馬等惡意程序。

　　打開(kāi)該電腦并上網(wǎng)，按Ctrl+Alt+Del鍵啟動(dòng)了任務(wù)管理器，切換到“進(jìn)程”選項(xiàng)卡，點(diǎn)擊菜單命令“查看→選擇列”，同時(shí)勾選上“I/O寫(xiě)入”和“I/O寫(xiě)入字節(jié)”兩項(xiàng)。確定后返回任務(wù)管理器，發(fā)現(xiàn)一個(gè)陌生的進(jìn)程hidel.exe，雖然它占用的CPU和內(nèi)存并不是特別大，但是I/O的寫(xiě)入量卻大得驚人，看來(lái)就是它在搗鬼了，趕緊右擊它并選擇“結(jié)束進(jìn)程”終止，果然硬盤(pán)讀寫(xiě)恢復(fù)正常了。

　　二、系統(tǒng)備份工具殺毒于無(wú)形

　　筆者曾遭遇一個(gè)無(wú)法刪除的病毒“C：Program FilesCommon FilesPCSuiterasdf.exe”，同時(shí)也無(wú)法復(fù)制這個(gè)文件，如何清除它。筆者通過(guò)系統(tǒng)備份工具清除了該病毒，操作過(guò)程如下：

　　第一步：?jiǎn)螕?ldquo;開(kāi)始→所有程序→附件→系統(tǒng)工具→備份”，打開(kāi)備份或還原向?qū)Т翱?，備份?xiàng)目選擇“讓我選擇要備份的內(nèi)容”，定位到“C:Program FilesCommon FilesPCSuite”。

　　第二步：繼續(xù)執(zhí)行備份向?qū)Р僮鳎瑢浞菸募４鏋?ldquo;g:virus.bkf”，備份選項(xiàng)勾選“使用卷陰影復(fù)制”，剩余操作按默認(rèn)設(shè)置完成備份。

　　第三步：雙擊“g:virus.bak”，打開(kāi)備份或還原向?qū)?，把備份還原

　　“g:virus”。接著打開(kāi)“g:virus”，使用記事本打開(kāi)病毒文件“rasdf.exe”，然后隨便刪除其中幾行代碼并保存，這樣病毒就被我們使用記事本破壞了(它再也無(wú)法運(yùn)行)。

　　第四步：操作同上，重新制作“k:virus”的備份為“k:virus1.bkf”。然后啟動(dòng)還原向?qū)?，還原位置選擇“C：Program FilesCommon FilesPCSuite”，還原選項(xiàng)選擇“替換現(xiàn)有文件”。這樣，雖然當(dāng)前病毒正在運(yùn)行，但備份組件仍然可以使用壞的病毒文件替換當(dāng)前病毒。還原完成后，系統(tǒng)提示重新啟動(dòng)，重啟后病毒就不會(huì)啟動(dòng)了(因?yàn)樗驯挥浭卤酒茐?。

　　三、記事本借刀殺人

　　1.雙進(jìn)程木馬的查殺

　　現(xiàn)在，越來(lái)越多的木馬采用雙進(jìn)程守護(hù)技術(shù)保護(hù)自己，就是兩個(gè)擁有同樣功能的代碼程序，不斷地檢測(cè)對(duì)方是否已經(jīng)被別人終止，如果發(fā)現(xiàn)對(duì)方已經(jīng)被終止了，那么又開(kāi)始創(chuàng)建對(duì)方，這給我們的查殺帶來(lái)很大的困難。不過(guò)，此類(lèi)木馬也有“軟肋”，它只通過(guò)進(jìn)程列表進(jìn)程名稱(chēng)來(lái)判斷被守護(hù)進(jìn)程是否存在。這樣，我們只要用記事本程序來(lái)替代木馬進(jìn)程，就可以達(dá)到“欺騙”守護(hù)進(jìn)程的目的。

　　下面以某變種木馬的查殺為例。中招該木馬后，木馬的“internet.exe”和“systemtray.exe”兩個(gè)進(jìn)程會(huì)互相監(jiān)視。當(dāng)然，我們中招的時(shí)候大多不知道木馬具體的監(jiān)護(hù)進(jìn)程。不過(guò)，通過(guò)進(jìn)程名稱(chēng)可以知道，“systemtray.exe”是異常的進(jìn)程，因?yàn)橄到y(tǒng)正常進(jìn)程中沒(méi)有該進(jìn)程。下面使用替換方法來(lái)查殺該木馬。

　　第一步：?jiǎn)螕?ldquo;開(kāi)始→運(yùn)行”，輸入“Msinfo32”打開(kāi)系統(tǒng)信息窗口，展開(kāi)“系統(tǒng)摘要→軟件環(huán)境→正在運(yùn)行任務(wù)”，這里可以看到“systemtray.exe”路徑在“C:WindowsSystem32”下。

　　第二步：打開(kāi)“C:WindowsSystem32”，復(fù)制記事本程序“notepad.exe”到“D:” ，同時(shí)重命名為“systemtray.exe”。

　　第三步：打開(kāi)記事本程序，輸入下列代碼，保存為“shadu.bat”，放置在桌面(括號(hào)為注釋?zhuān)瑹o(wú)須輸入)：

　　@echo off

　　Taskkill /f /im systemtray.exe (使用taskkill命令強(qiáng)行終止“systemtray.exe”進(jìn)程)

　　Delete C:WindowsSystem32systemtray.exe (刪除病毒文件)

　　Copy d:systemtray.exe C:WindowsSystem32(替換病毒文件)

　　第四步：現(xiàn)在只要在桌面運(yùn)行“shadu.bat”，系統(tǒng)會(huì)將“systemtray.exe”進(jìn)程終止并刪除，同時(shí)把改名的記事本程序復(fù)制到系統(tǒng)目錄。這樣，守護(hù)進(jìn)程會(huì)“誤以為”被守護(hù)進(jìn)程還存在，它會(huì)立刻啟動(dòng)一個(gè)記事本程序。

　　第五步：接下來(lái)我們只要找出監(jiān)視進(jìn)程并刪除即可，在命令提示符輸入:

　　“taskkill /f /im systemtray.exe ”，將守護(hù)進(jìn)程再生的“systemtray.exe”終止，可以看到“systemtray.exe”進(jìn)程是由“PID 3288的進(jìn)程”創(chuàng)建的，打開(kāi)任務(wù)管理器可以看到“PID 3288的進(jìn)程”為“internet.exe”，這就是再生進(jìn)程的“元兇”。

　　第六步：按照第一步方式，打開(kāi)系統(tǒng)信息窗口可以看到“internet.exe”也位于系統(tǒng)目錄，終止“internet.exe”進(jìn)程并進(jìn)入系統(tǒng)目錄把上述兩個(gè)文件刪除即可。

　　2.使病毒失效并刪除

　　大家知道，文件都是由編碼組成的，記事本程序理論上可以打開(kāi)任意文件(只不過(guò)有些會(huì)顯示為亂碼)。我們可以將病毒打開(kāi)方式關(guān)聯(lián)到記事本，使之啟動(dòng)后變成由記事本打開(kāi)，失去作惡的功能。比如，一些頑固病毒常常會(huì)在注冊(cè)表的“HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”等啟動(dòng)位置生成難以刪除的鍵值，達(dá)到惡意啟動(dòng)的目的。下面使用記事本來(lái)“廢”掉病毒的生命力。

　　第一步：?jiǎn)?dòng)命令提示符，輸入“ftype exefile=notepad.exe %1”，把所有EXE程序打開(kāi)方式關(guān)聯(lián)到記事本程序，重啟系統(tǒng)后我們會(huì)發(fā)現(xiàn)桌面自動(dòng)啟動(dòng)好幾個(gè)程序，這里包括系統(tǒng)正常的程序如輸入法、音量調(diào)整程序等，當(dāng)然也包括惡意啟動(dòng)的流氓程序，不過(guò)現(xiàn)在都被記事本打開(kāi)了。

　　第二步：根據(jù)記事本窗口標(biāo)題找到病毒程序，比如上例的systemtray.exe程序，找到這個(gè)記事本窗口后，單擊“文件→另存為”，我們就可以看到病毒具體路徑在“C:WindowsSystem32”下?，F(xiàn)在關(guān)掉記事本窗口，按上述路徑提示進(jìn)入系統(tǒng)目錄刪除病毒即可。

　　第三步：刪除病毒后就可以刪除病毒啟動(dòng)鍵值了，接著重啟電腦，按住F8，然后在安全模式菜單選擇“帶命令提示的安全模式”，進(jìn)入系統(tǒng)后會(huì)自動(dòng)打開(kāi)命令提示符。輸入“ftype exefile="%1"%*”恢復(fù)exe文件打開(kāi)方式即可。

　　四、注冊(cè)表映像劫持讓病毒沒(méi)脾氣

　　現(xiàn)在病毒都會(huì)采用IFO的技術(shù)，通俗的講法是映像劫持，利用的是注冊(cè)表中的如下鍵值

　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options位置來(lái)改變程序調(diào)用的，而病毒卻利用此處將正常的殺毒軟件給偷換成病毒程序。恰恰相反，讓我們自己可以利用此處欺瞞病毒木馬，讓它實(shí)效?？芍^，瞞天過(guò)海，還治其人。

　　下面我們以屏蔽某未知病毒KAVSVC.EXE為例，操作方法如下：

　　第一步：先建立以下一文本文件，輸入以下內(nèi)容，另存為1.reg

　　Windows Registry Editor Version 5.00

　　[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKAVSVC.EXE]

　　"Debugger"="d: class="main">