[安全]杀毒软件失效别担心 手工驱逐病毒

　　记录人：苗得雨
　　技术点：如何解决因杀毒软件失效导致的中毒故障。

　　电脑如同我们的家一样，在使用一段时间之后就需要清理维护。特别是在病毒横行的今天，如何做好安全维护，在电脑出现问题的时候如何将问题找出并解决问题，是想成为安全工程师和电脑高手的朋友应该掌握的基本技能。也只有这样，我们才能够在电脑工作异常时，临危不乱处变不惊，防止因为盲目的误操作，出现本不应该出现的数据损失。

　　现在绝大多数电脑用户都会安装杀毒软件，他们对于杀毒软的依赖程度相当高，如果怀疑电脑中毒了，就会想到用杀毒软件。而如果杀毒软件也同时出现故障，很多用户就不知道该怎么办了。

　　以我个人遇到的情况来看，有些病毒会直接关闭杀毒软件进程，有些会停止杀毒软件后台服务，还有一些会悄悄地更改用户的网络协议与关键文件，让杀毒软件升级功能失效。而当用户察觉系统有异样后，再次安装杀毒软件往往也会失败，甚至更换另一种杀毒软件也会遇到阻碍。失去了防御病毒的武器会让许多用户束手无策，这时正好是我们安全工程师大显身手的时候。

　　用户难处理的症状
　　症状1：无法上网，杀毒软件主动防御关闭或无法执行

　　　症状解析：这种情况比较多见。病毒通常是修改了IE中的代理选项，让用户无法正常上网。所以用户如果遇到这样的问题，应该即时检查IE浏览器中的“Internet选项”，病毒可能修改了“连接→局域网设置”中的代理服务器一项，用户只需要将代理服务器的勾选去掉皆可（图1）。也有部分病毒会删除用户电脑中的网络协议，让用户的网络操作彻底失效。

image001.jpg (23.77 KB)
2009-3-25 14:04

　　而让杀毒软件主动防御失效，病毒常采用的招数是，通过修改系统默认加载的DLL 列表项来实现DLL 注入（），在注入后设置全局钩子。然后根据杀毒软件的关键字，找到杀毒软件的窗口，往目标窗口发送大量的垃圾消息，是它无法处理而进入假死状态。这时杀毒软件的主动防御功能就失效了（图2）。

image002.jpg (23.95 KB)
2009-3-25 14:04

　　杀毒软件无法执行，极有可能是由映像劫持造成的。病毒通过修改注册表将杀毒软件程序重定向，可以导致杀毒软件无法运行。此外，也有可能是因为病毒删除了杀毒软件的服务或者程序。

　　　症状2：仅杀毒软件和安全辅助工具无法升级
　　　症状解析：这种情况的迷惑性更大一些，许多用户都是隔了一段时间才反应过来的。病毒修改了Windows操作系统中的HOSTS文件，阻止了杀毒软件和安全辅助工具的升级。用户在Windo