亚洲欧美精品沙发,日韩在线精品视频,亚洲Av每日更新在线观看,亚洲国产另类一区在线5

<pre id="hdphd"></pre>

  • <div id="hdphd"><small id="hdphd"></small></div>
      學(xué)習(xí)啦>學(xué)習(xí)電腦>電腦技巧>

      系統(tǒng)自帶的最不起眼又是最強(qiáng)的殺毒工具

      時間: 若木635 分享

        Windows系統(tǒng)集成了無數(shù)的工具,它們各司其職,滿足用戶不同的應(yīng)用需求。其實這些工具“多才多藝”,如果你有足夠的想象力并且善于挖掘,你會發(fā)現(xiàn)它們除了本行之外還可以幫我們殺毒。

        一、任務(wù)管理器給病毒背后一刀

        windows任務(wù)管理器是大家對進(jìn)程進(jìn)行管理的主要工具,在它的“進(jìn)程”選項卡中能查看當(dāng)前系統(tǒng)進(jìn)程信息。在默認(rèn)設(shè)置下,一般只能看到映像名稱、用戶名、cpu占用、內(nèi)存使用等幾項,而更多如I/O讀寫、虛擬內(nèi)存大小等信息卻被隱藏了起來??蓜e小看了這些被隱藏的信息,當(dāng)系統(tǒng)出現(xiàn)莫名其妙的故障時,沒準(zhǔn)就能從它們中間找出突破口。

        1.查殺會自動消失的雙進(jìn)程木馬

        前段時間朋友的電腦中了某木馬,通過任務(wù)管理器查出該木馬進(jìn)程為“system.exe”,終止它后再刷新,它又會復(fù)活。進(jìn)入安全模式把c:windowssystem32system.exe刪除,重啟后它又會重新加載,怎么也無法徹底清除它。從此現(xiàn)象來看,朋友中的應(yīng)該是雙進(jìn)程木馬。這種木馬有監(jiān)護(hù)進(jìn)程,會定時進(jìn)行掃描,一旦發(fā)現(xiàn)被監(jiān)護(hù)的進(jìn)程遭到查殺就會復(fù)活它。而且現(xiàn)在很多雙進(jìn)程木馬互為監(jiān)視,互相復(fù)活。因此查殺的關(guān)鍵是找到這“互相依靠”的兩個木馬文件。借助任務(wù)管理器的PID標(biāo)識可以找到木馬進(jìn)程。

        調(diào)出Windows任務(wù)管理器,首先在“查看→選擇列”中勾選“PID(進(jìn)程標(biāo)識符)”,這樣返回任務(wù)管理器窗口后可以看到每一個進(jìn)程的PID標(biāo)識。這樣當(dāng)我們終止一個進(jìn)程,它再生后通過PID標(biāo)識就可以找到再生它的父進(jìn)程。啟動命令提示符窗口,執(zhí)行“taskkill /im system.exe /f”命令。刷新一下電腦后重新輸入上述命令如圖1,可以看到這次終止的system.exe進(jìn)程的PID為1536,它屬于PID為676的某個進(jìn)程。也就是說PID為1536的system.exe進(jìn)程是由PID為676的進(jìn)程創(chuàng)建的。返回任務(wù)管理器,通過查詢進(jìn)程PID得知它就是“internet.exe”進(jìn)程進(jìn)程。(如圖)

        找到了元兇就好辦了,現(xiàn)在重新啟動系統(tǒng)進(jìn)入安全模式,使用搜索功能找到木馬文件c:windowsinternet.exe ,然后將它們刪除即可。前面無法刪除system.exe,主要是由于沒有找到internet.exe(且沒有刪除其啟動鍵值),導(dǎo)致重新進(jìn)入系統(tǒng)后internet.exe復(fù)活木馬。

        2.揪出狂寫硬盤的P2P程序

        單位一電腦一開機(jī)上網(wǎng)就發(fā)現(xiàn)硬盤燈一直閃個不停,硬盤狂旋轉(zhuǎn)。顯然是本機(jī)有什么程序正在進(jìn)行數(shù)據(jù)的讀取,但是反復(fù)殺毒也沒發(fā)現(xiàn)病毒、木馬等惡意程序。

        打開該電腦并上網(wǎng),按Ctrl+Alt+Del鍵啟動了任務(wù)管理器,切換到“進(jìn)程”選項卡,點擊菜單命令“查看→選擇列”,同時勾選上“I/O寫入”和“I/O寫入字節(jié)”兩項。確定后返回任務(wù)管理器,發(fā)現(xiàn)一個陌生的進(jìn)程hidel.exe,雖然它占用的CPU和內(nèi)存并不是特別大,但是I/O的寫入量卻大得驚人,看來就是它在搗鬼了,趕緊右擊它并選擇“結(jié)束進(jìn)程”終止,果然硬盤讀寫恢復(fù)正常了。

        二、系統(tǒng)備份工具殺毒于無形

        筆者曾遭遇一個無法刪除的病毒“C:Program FilesCommon FilesPCSuiterasdf.exe”,同時也無法復(fù)制這個文件,如何清除它。筆者通過系統(tǒng)備份工具清除了該病毒,操作過程如下:

        第一步:單擊“開始→所有程序→附件→系統(tǒng)工具→備份”,打開備份或還原向?qū)Т翱?,備份項目選擇“讓我選擇要備份的內(nèi)容”,定位到“C:Program FilesCommon FilesPCSuite”。

        第二步:繼續(xù)執(zhí)行備份向?qū)Р僮鳎瑢浞菸募4鏋?ldquo;g:virus.bkf”,備份選項勾選“使用卷陰影復(fù)制”,剩余操作按默認(rèn)設(shè)置完成備份。

        第三步:雙擊“g:virus.bak”,打開備份或還原向?qū)?,把備份還原

        “g:virus”。接著打開“g:virus”,使用記事本打開病毒文件“rasdf.exe”,然后隨便刪除其中幾行代碼并保存,這樣病毒就被我們使用記事本破壞了(它再也無法運(yùn)行)。

        第四步:操作同上,重新制作“k:virus”的備份為“k:virus1.bkf”。然后啟動還原向?qū)?,還原位置選擇“C:Program FilesCommon FilesPCSuite”,還原選項選擇“替換現(xiàn)有文件”。這樣,雖然當(dāng)前病毒正在運(yùn)行,但備份組件仍然可以使用壞的病毒文件替換當(dāng)前病毒。還原完成后,系統(tǒng)提示重新啟動,重啟后病毒就不會啟動了(因為它已被記事本破壞)。

        三、記事本借刀殺人

        1.雙進(jìn)程木馬的查殺

        現(xiàn)在,越來越多的木馬采用雙進(jìn)程守護(hù)技術(shù)保護(hù)自己,就是兩個擁有同樣功能的代碼程序,不斷地檢測對方是否已經(jīng)被別人終止,如果發(fā)現(xiàn)對方已經(jīng)被終止了,那么又開始創(chuàng)建對方,這給我們的查殺帶來很大的困難。不過,此類木馬也有“軟肋”,它只通過進(jìn)程列表進(jìn)程名稱來判斷被守護(hù)進(jìn)程是否存在。這樣,我們只要用記事本程序來替代木馬進(jìn)程,就可以達(dá)到“欺騙”守護(hù)進(jìn)程的目的。

        下面以某變種木馬的查殺為例。中招該木馬后,木馬的“internet.exe”和“systemtray.exe”兩個進(jìn)程會互相監(jiān)視。當(dāng)然,我們中招的時候大多不知道木馬具體的監(jiān)護(hù)進(jìn)程。不過,通過進(jìn)程名稱可以知道,“systemtray.exe”是異常的進(jìn)程,因為系統(tǒng)正常進(jìn)程中沒有該進(jìn)程。下面使用替換方法來查殺該木馬。

        第一步:單擊“開始→運(yùn)行”,輸入“Msinfo32”打開系統(tǒng)信息窗口,展開“系統(tǒng)摘要→軟件環(huán)境→正在運(yùn)行任務(wù)”,這里可以看到“systemtray.exe”路徑在“C:WindowsSystem32”下。

        第二步:打開“C:WindowsSystem32”,復(fù)制記事本程序“notepad.exe”到“D:” ,同時重命名為“systemtray.exe”。

        第三步:打開記事本程序,輸入下列代碼,保存為“shadu.bat”,放置在桌面(括號為注釋,無須輸入):

        @echo off

        Taskkill /f /im systemtray.exe (使用taskkill命令強(qiáng)行終止“systemtray.exe”進(jìn)程)

        Delete C:WindowsSystem32systemtray.exe (刪除病毒文件)

        Copy d:systemtray.exe C:WindowsSystem32(替換病毒文件)

        第四步:現(xiàn)在只要在桌面運(yùn)行“shadu.bat”,系統(tǒng)會將“systemtray.exe”進(jìn)程終止并刪除,同時把改名的記事本程序復(fù)制到系統(tǒng)目錄。這樣,守護(hù)進(jìn)程會“誤以為”被守護(hù)進(jìn)程還存在,它會立刻啟動一個記事本程序。

        第五步:接下來我們只要找出監(jiān)視進(jìn)程并刪除即可,在命令提示符輸入:

        “taskkill /f /im systemtray.exe ”,將守護(hù)進(jìn)程再生的“systemtray.exe”終止,可以看到“systemtray.exe”進(jìn)程是由“PID 3288的進(jìn)程”創(chuàng)建的,打開任務(wù)管理器可以看到“PID 3288的進(jìn)程”為“internet.exe”,這就是再生進(jìn)程的“元兇”。

        第六步:按照第一步方式,打開系統(tǒng)信息窗口可以看到“internet.exe”也位于系統(tǒng)目錄,終止“internet.exe”進(jìn)程并進(jìn)入系統(tǒng)目錄把上述兩個文件刪除即可。

        2.使病毒失效并刪除

        大家知道,文件都是由編碼組成的,記事本程序理論上可以打開任意文件(只不過有些會顯示為亂碼)。我們可以將病毒打開方式關(guān)聯(lián)到記事本,使之啟動后變成由記事本打開,失去作惡的功能。比如,一些頑固病毒常常會在注冊表的“HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”等啟動位置生成難以刪除的鍵值,達(dá)到惡意啟動的目的。下面使用記事本來“廢”掉病毒的生命力。

        第一步:啟動命令提示符,輸入“ftype exefile=notepad.exe %1”,把所有EXE程序打開方式關(guān)聯(lián)到記事本程序,重啟系統(tǒng)后我們會發(fā)現(xiàn)桌面自動啟動好幾個程序,這里包括系統(tǒng)正常的程序如輸入法、音量調(diào)整程序等,當(dāng)然也包括惡意啟動的流氓程序,不過現(xiàn)在都被記事本打開了。

        第二步:根據(jù)記事本窗口標(biāo)題找到病毒程序,比如上例的systemtray.exe程序,找到這個記事本窗口后,單擊“文件→另存為”,我們就可以看到病毒具體路徑在“C:WindowsSystem32”下?,F(xiàn)在關(guān)掉記事本窗口,按上述路徑提示進(jìn)入系統(tǒng)目錄刪除病毒即可。

        第三步:刪除病毒后就可以刪除病毒啟動鍵值了,接著重啟電腦,按住F8,然后在安全模式菜單選擇“帶命令提示的安全模式”,進(jìn)入系統(tǒng)后會自動打開命令提示符。輸入“ftype exefile="%1"%*”恢復(fù)exe文件打開方式即可。

        四、注冊表映像劫持讓病毒沒脾氣

        現(xiàn)在病毒都會采用IFO的技術(shù),通俗的講法是映像劫持,利用的是注冊表中的如下鍵值

        HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options位置來改變程序調(diào)用的,而病毒卻利用此處將正常的殺毒軟件給偷換成病毒程序。恰恰相反,讓我們自己可以利用此處欺瞞病毒木馬,讓它實效??芍^,瞞天過海,還治其人。

        下面我們以屏蔽某未知病毒KAVSVC.EXE為例,操作方法如下:

        第一步:先建立以下一文本文件,輸入以下內(nèi)容,另存為1.reg

        Windows Registry Editor Version 5.00

        [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKAVSVC.EXE]

        "Debugger"="d: class="main">

      系統(tǒng)自帶的最不起眼又是最強(qiáng)的殺毒工具

      時間: 若木635 分享

        [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKAVSVC.EXE]

        "Debugger"="d: class="main">

      系統(tǒng)自帶的最不起眼又是最強(qiáng)的殺毒工具

      時間: 若木635 分享

        (注:第一行代碼下有空行。)

        第二步:雙擊導(dǎo)入該reg文件后,確定。

        第三步:點“開始→運(yùn)行”后,輸入KAVSVC.EXE。

        提示:1.exe可以是任意無用的文件,是我們隨意創(chuàng)建一個文本文件后將后綴名.txt改為.exe的,

        總結(jié):當(dāng)我們飽受病毒木馬的折磨,在殺毒軟件無能為力或者感覺“殺雞焉用宰牛刀”時,不妨運(yùn)用系統(tǒng)工具進(jìn)行病毒木馬的查殺,說不定會起到意想不到的效果。

      93404