Windows系統(tǒng)集成了很多工具���,它們各司其職,滿足用戶不同的應(yīng)用需求。其實這些工具“多才多藝”�����,如果你有足夠的想象力并且善于挖掘�����,你會發(fā)現(xiàn)它們除了本行之外還可以幫我們殺毒。
一����、任務(wù)管理器給病毒背后一刀
Windows任務(wù)管理器是大家對進(jìn)程進(jìn)行管理的主要工具,在它的“進(jìn)程”選項卡中能查看當(dāng)前系統(tǒng)進(jìn)程信息�。在默認(rèn)設(shè)置下,一般只能看到映像名稱�、用戶名、CPU占用���、內(nèi)存使用等幾項�����,而更多如I/O讀寫����、虛擬內(nèi)存大小等信息卻被隱藏了起來??蓜e小看了這些被隱藏的信息,當(dāng)系統(tǒng)出現(xiàn)莫名其妙的故障時�����,沒準(zhǔn)就能從它們中間找出突破口���。
1.查殺會自動消失的雙進(jìn)程木馬
前段時間朋友的電腦中了某木馬�����,通過任務(wù)管理器查出該木馬進(jìn)程為“system.exe”�,終止它后再刷新����,它又會復(fù)活。進(jìn)入安全模式把c:\windows\system32\system.exe刪除���,重啟后它又會重新加載��,怎么也無法徹底清除它����。從此現(xiàn)象來看,朋友中的應(yīng)該是雙進(jìn)程木馬�����。這種木馬有監(jiān)護(hù)進(jìn)程�����,會定時進(jìn)行掃描�,一旦發(fā)現(xiàn)被監(jiān)護(hù)的進(jìn)程遭到查殺就會復(fù)活它�。而且現(xiàn)在很多雙進(jìn)程木馬互為監(jiān)視,互相復(fù)活����。因此查殺的關(guān)鍵是找到這“互相依靠”的兩個木馬文件。借助任務(wù)管理器的PID標(biāo)識可以找到木馬進(jìn)程���。
調(diào)出Windows任務(wù)管理器�����,首先在“查看→選擇列”中勾選“PID(進(jìn)程標(biāo)識符)”�,這樣返回任務(wù)管理器窗口后可以看到每一個進(jìn)程的PID標(biāo)識。這樣當(dāng)我們終止一個進(jìn)程����,它再生后通過PID標(biāo)識就可以找到再生它的父進(jìn)程。啟動命令提示符窗口�����,執(zhí)行“taskkill /im system.exe /f”命令���。刷新一下電腦后重新輸入上述命令如圖1��,可以看到這次終止的system.exe進(jìn)程的PID為1536�����,它屬于PID為676的某個進(jìn)程�����。也就是說PID為1536的system.exe進(jìn)程是由PID為676的進(jìn)程創(chuàng)建的���。返回任務(wù)管理器����,通過查詢進(jìn)程PID得知它就是“internet.exe”進(jìn)程進(jìn)程���。(如圖)
圖1 查詢PID進(jìn)程
找到了元兇就好辦了��,現(xiàn)在重新啟動系統(tǒng)進(jìn)入安全模式���,使用搜索功能找到木馬文件c:\windows\internet.exe ,然后將它們刪除即可��。前面無法刪除system.exe�����,主要是由于沒有找到internet.exe(且沒有刪除其啟動鍵值)��,導(dǎo)致重新進(jìn)入系統(tǒng)后internet.exe復(fù)活木馬�。
2.揪出狂寫硬盤的P2P程序
單位一電腦一開機上網(wǎng)就發(fā)現(xiàn)硬盤燈一直閃個不停�����,硬盤狂旋轉(zhuǎn)。顯然是本機有什么程序正在進(jìn)行數(shù)據(jù)的讀取����,但是反復(fù)殺毒也沒發(fā)現(xiàn)病毒、木馬等惡意程序���。
打開該電腦并上網(wǎng)���,按Ctrl+Alt+Del鍵啟動了任務(wù)管理器,切換到“進(jìn)程”選項卡���,點擊菜單命令“查看→選擇列”�����,同時勾選上“I/O寫入”和“I/O寫入字節(jié)”兩項����。確定后返回任務(wù)管理器���,發(fā)現(xiàn)一個陌生的進(jìn)程hidel.exe�,雖然它占用的CPU和內(nèi)存并不是特別大���,但是I/O的寫入量卻大得驚人�����,看來就是它在搗鬼了�,趕緊右擊它并選擇“結(jié)束進(jìn)程”終止,果然硬盤讀寫恢復(fù)正常了����。
二、系統(tǒng)備份工具殺毒于無形
筆者曾遭遇一個無法刪除的病毒“C:\Program Files\Common Files\PCSuite\rasdf.exe”�,同時也無法復(fù)制這個文件,如何清除它����。筆者通過系統(tǒng)備份工具清除了該病毒,操作過程如下:
第一步:單擊“開始→所有程序→附件→系統(tǒng)工具→備份”���,打開備份或還原向?qū)Т翱?,備份項目選擇“讓我選擇要備份的內(nèi)容”����,定位到“C:\Program Files\Common Files\PCSuite”��。
第二步:繼續(xù)執(zhí)行備份向?qū)Р僮?����,將備份文件保存?ldquo;g:\virus.bkf”����,備份選項勾選“使用卷陰影復(fù)制”,剩余操作按默認(rèn)設(shè)置完成備份���。
第三步:雙擊“g:\virus.bak”,打開備份或還原向?qū)?��,把備份還原到“g:\virus”���。接著打開“g:\virus”���,使用記事本打開病毒文件“rasdf.exe”���,然后隨便刪除其中幾行代碼并保存,這樣病毒就被我們使用記事本破壞了(它再也無法運行)����。
第四步:操作同上,重新制作“k:\virus”的備份為“k:\virus1.bkf”�。然后啟動還原向?qū)В€原位置選擇“C:\Program Files\Common Files\PCSuite\&;�����,還原選項選擇“替換現(xiàn)有文件”���。這樣,雖然當(dāng)前病毒正在運行�,但備份組件仍然可以使用壞的病毒文件替換當(dāng)前病毒。還原完成后�,系統(tǒng)提示重新啟動,重啟后病毒就不會啟動了(因為它已被記事本破壞)����。
上一頁12 下一頁 閱讀全文
