Process Explorer与HiJackThis联手让恶意软件无处藏身
发布:admin | 发布时间: 2010年5月12日几乎所有的安全方案供应商都预言,未来的恶意软件将更加严重。那么该如何对付恶意软件?要知道检测软件并不是万能的。
事实上,多数检测软件,仍处于成长阶段。最起码可以这样说,其成功率绝对不是很高,有安全专业人士指出有的检测软件的成功率甚至不到50%,一个重要的原因是检测总是发生在系统被感染之后进行。
困难之一是在病毒或恶意软件阻止反病毒软件隔离或清除它的时候,或者在它阻止操作系统获取安全补丁时,如何解决被感染的系统。
有人说,要保障一个清洁的系统仅有重装系统一种途径了,其实,这不应当总是首选,而应当是最后的选择。对于任何系统,用户应当拥有一个合法的可以运行的备份,目的是在重装系统成为最后的唯一选择时,可以将数据损失最小化。
其实,在此之前,我们可以借助一些专用工具来对付恶意软件,这里首先要介绍Process Explorer这个好工具。
Process Explorer
Process Explorer是一个高级的进程管理工具,它可以极大地弥补Windows任务管理器的功能。它可向用户展示关于某个进程的详细信息,包括其图标、命令行、完整的镜象路径、内存统计、用户账户、安全属性等。在对一个特定的进程放大显示之后,用户可以列示它所装载的DLL(动态链接库)或它打开的操作系统句柄。顶部列示的是当前的活动进程,包括自己的账户名称,其底部显示的是相关信息,用户可以关闭之,这依赖于此工具所处的模式:如果它处于句柄模式,用户会在上部打开的窗口中看到选中的句柄。如果它处于动态链接库模式,用户会看到进程所装载的内存镜象文件。
在使用此软件时,用户应当首先知道进程列表中有哪些是正常的。请看下图1,可以看出笔者的系统运行良好:
好象一切都运行得不错,如果发生了什么不正常的情况,也可以查觉到。但在笔者再次仔细看了一下,不妙!
上图顶部的三个进程正在运行,其原因是所谓的间谍软件终结者的虚假
程序感染了笔者的系统,该如何是好?
安全模式显身手
笔者重新启动系统,将系统引导进入了安全模式。进入安全模式的一个好处是可以避免木马下载其它东西并再次感染系统的可能性。
然后再次启动Process Explorer,并使用如下图所示的结束进程树命令终止了木马进程及其子进程。下一步是关闭“系统还原”。为什么这样做呢?因为笔者知道这种恶意软件可以用此功能重新“死里逃生”。
此时,确实是小心为妙,必须搞定其它的所有细节问题。在“我的电脑”的右击,选择“属性”。找到并单击如下图所示的“系统还原”选项卡:
选中“在所有驱动器上关闭系统还原”复选框,单击“确定”
在出现下图后,单击“是”即可。
然后单击“开始”按钮,单击“运行”,输入“regedt32”,打开注册表编辑器。在注册表编辑器窗口中,单击“编辑/查找”,输入“fun.exe”:如下图:
在注册表中找到后,删除与之相关的所有键。如下图所示:
然后笔者又查找了与之相关的“winsit.exe”文件,清除了对它的所有引用。
下一步是搜索“%sysemfolder%”文件夹,查找这四个恶意文件的所有实例,并删除之。这些文件多数都驻于“system”、“system32”及“startup”文件夹中。此后,笔者又运行了HiJackThis,看看自己是否全部搞定:
然后笔者就看到了下图:
注意红框内的几个可执行文件,选中它们,单击“Fix Checked”。然后,再次打开“系统属性”对话,找到“自动还原”并取消“在所有驱动器上关闭系统还原”前的对话框。并重新启动系统。
事实上清除病毒是需要花费很多时间的。幸运的是,笔者使用的是虚拟机,其启动时间短。而且,虚拟机具有快照功能,这样,即使恶意软件无法清除,笔者也可将系统恢复到最后一次正确而安全的配置。
总结一句,虽然反病毒软件、恶意软件检测以及其它的安全产品检测功能日益强大,但由于恶意代码制造者的技术手段也在“水涨船高”,所以检测总有可能百“赢”一“输”。所以善于运用进程管理工具或许是一种很好的解决方法。
文章如转载,请注明转载自:http://www.5iadmin.com/post/593.html
- 相关文章:
“间谍”软件克星Ad-Aware (2010-1-16 21:23:17)
发表评论
◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。