浅谈手工杀毒.docVIP

图表 错误！文档中没有指定样式的文字。1 　计算机安全，关键在“防”，所以平常所做的防护以及备份工作是最重要的！ 　　系统安全，方法有很多：影子系统、虚拟机、沙箱...但很多时候真的没有必要。保持良好的上网习惯和用机习惯，做好适当的备份就可以了。所以这里不讨论那些虚拟技术，主要是真实系统中的一些问题。虽然谈的是手工杀毒，但还是要列举一下平常会用到的可能有关的一些东西：360，卡卡，超级兔子，window清理助手，超级巡警，黄山IE修复，恶意软件清理助手......虽然并不讨论，但是这些日常所用到过的东西很有帮助。对于杀毒软件的优劣没什么多评判的，主流我几乎都算是用过一遍了，也只是觉得各有所长。对于防御，最重要的无非还是补丁和好的习惯，手工只是辅助，杀毒软件仍然只是辅助吧。 　　下面是一般处理的方式（一层进一层地处理）： 　　安全模式下全盘查杀。 　　将硬盘挂接到其它机器上全盘查杀。 　　重装系统后，仅操作桌面的情况下，安装杀毒软件全盘查杀。 　　依靠杀毒软件是对的，因为手工来杀意味着麻烦和很可能的失败，但是完全交给杀毒软件也不妥当。在病毒成功干扰杀毒软件之后，我们就要手工尽可能去排除干扰。一旦病毒进来了，难说病毒不会把杀毒软件先干掉。即使不用，了解下也没有坏处。 　　进入手工杀毒的主题： 　　当中毒之后，第一步，就是断网，并且千万不能系统重启 即使重启也不要正常重启 。 　　中毒后的症状现在也出奇的有一致性，干扰如360这类安全工具，禁用任务管理器等等。平时多注意任务管理器多注意进程，熟悉系统盘里的文件，以及文件的修改时间，会为手工杀毒带来方便，第一时间知道中毒，第一时间划定可疑范围。在杀毒里最开始也是最重要的一步，就是干掉病毒的进程。这就涉及到很多工具。没有这些工具，手工杀毒根本无从谈起。 　　首先是我们平时用的最多的任务管理器。用Ctrl+Shift+ESC调出 似乎平时人们都更喜欢Ctrl+Alt+Delete 。最大的缺点是不能同时结束两个以上的进程，而且可以说一直是病毒的首要目标，功能比较鸡肋。但是通常可以是一个信号灯，一旦其失效，就要考虑是不是中毒了~ 　　我强烈推荐Sysinternals的Process Explorer和Process Monitor，因为这两个软件实在是太好了。自从Winternals被微软收购后，Sysinternals也被并入微软名下，所以其工具对于windows系统的支持非常好。 　　Process Explorer可以完全取代系统自带的鸡肋般的taskmanager，提供的功能之强，使得这款软件历经多年仍然难有出其右者。对于进程信息的提供真是应有尽有了，详细而透彻。虽然近一年时间似乎也逐渐成为病毒屏蔽目标之一，但是强大功能和实用性，我一直无法放弃使用。按Ctrl+H,还可以切换到Handler视图进行更加高级的操作。 　　早些时候使用process explorer可以说是百试百灵的，可以逃脱的病毒并不多，现在情况就差很多了。下面是我以前碰到的一个例子:U盘上总是会被写上一个文件，文件大小是655k，删除之后过会又会重建。在任务管理器中看不出什么问题，但是在process explorer下却是一目了然。有一个进程作为用户进程居然没有父进程，看其行为，居然每隔一定时间就有一次IO操作，大小刚好也是655k。于是找到位置，删除之。同时用Process Monitor追踪了一下找到其他一些文件删除，系统恢复。可以说杀的并不完整，但是病毒已经无效化了。 　　Process Monitor实际上是对进程的文件系统和注册表调用的监视。对于特定进程可以完全跟踪文件读写和注册表的读写，这对于排查病毒极为有用。同时也提供了一个进程查看器，其虽然不如专门的进程查看器process explorer强大，却也十分实用，特别是存活时间可以说是一目了然。 　　在熊猫烧香肆虐的时候，可以说是IceSword大显神威的时候。对于这款软件就不多说了，到了1.22后软件作者就没有再更新了，功能之强大也是沿用至今的利器。但是我一直是用不好的，因为自从用起Sysinternals的工具后，用冰刃的时候就少了很多。强大的工具，要小心使用，不然会危及系统。 　　也许以上我都是在介绍软件，但是事实就是这样。我们必须借助软件工具找到病毒进程，找到病毒位置。其实很有意思，杀毒的大部分时间都是花在寻找病毒之上的，不论是杀毒软件，还是手工处理。很多时候也许没有这么多工具可用，那么就只能考虑CMD了。运行中输入cmd进入命令行，命令tasklist可以显示当前进程信息，而命令taskkill则可以杀掉指定PID的进程。详细的可以键入tasklist /?看帮助，说明和用法都很详细。另外记得还有个tskill，和一个ntsd，记不怎么