电脑技术学习：病毒寄生system32，我也来手工杀毒

转载请注明出处 电脑报（http://www.shudoo.com）   
2009年第17期F版   责任编辑：陈邓新
作者：汪泓翰 王海瑞

毒自远方来，寄生系统目录

系列名称：手工杀毒
本期知识：病毒藏身之所system32
学习进度：第一期

　　小编点睛：一提到手工杀毒，大家第一反应就是，难！于是很多读者朋友的手工杀毒经验为0。手工杀毒就没有简单的方法？有！只要合理的使用一些安全辅助工具，再配合杀毒软件，你也会手工杀毒。

　　杀毒，是一项苦差事，很多朋友都喜欢交给杀毒软件。不过杀毒软件也不是“万人敌”，双拳难抵四脚，面对病毒军团的疲劳轰炸，难免有“漏网之鱼”进入系统，而且说不定什么时候自己都会“挂”掉。
这个时候怎么我们该怎么办呢？向上帝祈祷吗？不，我们自己有手，我们完全可以自己动手清除病毒。要手工杀毒，总得知道目标在哪里吧，才能下手解决。最简单的手工杀毒方法，就是手工修复系统，然后再调用杀毒软件完成剩下的病毒衍生物清除工作。下面各位读者朋友跟随我一起寻找病毒在我们电脑里面的藏身之处。

　　病毒目的地是system32

　　 把电脑想象成领地，你就是这块领地的领主，在这片土地里面唯“你”独尊，不过你也时常被病毒军团骚扰。在你领地的入口，有一个门神——杀毒软件，你对它是又爱又恨，爱它是因为它帮你抵挡了无数次病毒军团的攻击，恨它是因为它无法抵挡所有的进攻，一些免杀过的病毒可以大摇大摆的闯入你的领地。

　    闯入你领地的病毒都到哪里去了？十之八九都杀入你的领地指挥所了——system32文件夹。不过大多数人都不了解自己的领地指挥所，也从来不关心它的安全，只要自己的命令通过领地指挥所能正常发出即可。

　    在被你忽视的领地指挥所里面，病毒正在“大展拳脚”。病毒会干的坏事有很多，但最可恶的是窜改SSDT表。SSDT表是什么东东？SSDT表被窜改会导致什么后果？SSDT表相当于领地指挥所里面的中枢命令开关（图1）。

image001.jpg (160.66 KB)
2009-5-15 16:17

　    在这个表里面，有许多系统重要的文件在运行，其中就包含了杀毒软件的文件。如果杀毒软件的进程在这里被杀掉了，你的领地门神就是去了作用，病毒军团就可以长驱直入了。病毒窜改SSDT表的目的就是这么卑鄙。

　　如何先知先觉

　    病毒进入你的领地指挥所，时间越久造成的后果也越严重。领地可能被病毒军团践踏得惨不忍睹，需要重新修葺（也就是常说的重装系统）；你的藏宝密室被病毒撬开，里面的现金、虚拟装备等贪婪的病毒一扫而空（也就是常说的盗号）。 这两种情况都不是你想要的结果，所以要在病毒完全控制住领地指挥所之前，反应过来及时采取措施反击病毒。

　    不同病毒在领地指挥所进行的破坏各不相同，有的症状很明显，例如系统变慢了、网页打不开了、杀毒软件被禁用了等，你感受的到。有的症状不明显，例如安全模式进不去了、注册表不能用了、出现陌生进程等，一般情况下你可能不会去关注这些东西。

　    如果是后面一种情况，那如何能尽快得知领地指挥所被破坏呢？有两个简单的方法，第一个是观察QQ是否正常。在QQ的密码输入的地方，安全锁是否失效（图2），如果安全锁没有失效，再点击右键，看能否弹出菜单，如果弹出菜单，就证明你的领地里面有病毒了。