破解病毒隐身术 揪出隐藏的病毒进程与线程

在的病毒越来越狡猾， 只对感兴趣的目标下手， 轻易不会破坏系统， 有的时候即使中毒了， 电脑用户可能也不知道。 纵使通过“Windows 任务管理器”查看进程， 也不会发现什么， 因为病毒对相关信息进行了隐藏。

　　当你怀疑电脑可能中毒的时候， 你就需要一款进程分析工具， 目前主流的进程分析工具有冰刃、Wsyscheck等。 我们以Wsyscheck【点击下载】软件为例介绍如何揪出隐藏的病毒进程和线程。

　　揪出隐藏的进程和线程

　　分析进程是查看电脑是否中毒的捷径， 是手工杀毒的一项重要操作。 Wsyscheck最大的一个特点就是分析进程， 它通过不同的颜色标注不同安全等级的进程。 在软件的进程列表中， 正常的系统进程用黑色显示。 被标注为红色的， 一般都是非系统的进程， 比如第三方应用程序或者病毒。

　　注：Wsyscheck判断系统进程安全的标准是通过进程属性完成的。 如果进程属性的文件厂商信息是“Microsoft Corporation”， 就会将该进程认定为Windows系统进程。

　　在“Windows 任务管理器”中可以隐藏的进程， 在Wsyscheck中是无法藏身的， 会被用红色标注出来， 这样用户对比两个进程列表一眼就可以发现问题所在。 确定隐藏的进程后， 点击鼠标右键， 选择菜单中的“结束选择的进程”命令(图1)， 这样就可以彻底结束进程。 剩下的事情就可以交给杀毒软件完成了(有可能还需要重新安装杀毒软件)。

　　另外， 有的病毒会通过线程插入的方式来进行隐藏， 用Wsyscheck也可以搞定。 在Wsyscheck中， 凡是被线程插入的进程， 都被标注成紫红色。 选中进程， 在下方显示该进程包含的所有线程， 注意看“文件厂商”栏， 如果没有文件厂商， 该线程就有问题。 选中问题线程， 点击鼠标右键， 选择菜单中的“卸载模块”命令， 这样就能将插入的进程的模块卸载掉了。

　　安全小百科： 不是所有线程插入的模块都是病毒， 包括迅雷、WinRAR这些常见的应用程序也会进行相应的线程插入操作。 同样拥有微软标签的进程模块， 也可能是病毒伪装的,Wsyscheck无法判断。 要找出此类病毒， 需要用到更专业的工具， 今后会介绍此类工具。

　　删除病毒文件

　　如果你不想用杀毒软件完成剩下的工作， 或者杀毒软件无法使用不能马上重装， 你可以手工完成病毒的清理工作。 点击“安全检查”标签中的“重启删除文件”(图2)， 点击“添加待删文件”按钮， 在弹出的窗口选择要删除的病毒文件， 然后单击窗口中的“执行重启删除”按钮。

　　这时软件将自动重新启动系统， 在启动尚未完成时将病毒文件删除。 如果病毒使用了驱动进行自我保护， 那么通过这种方法仍然难以删除。 应该怎么办呢?可以直接点击窗口的“Dos删除文件”标签(图3)。

　　选择要删除的病毒文件， 点击“执行Dos删除”按钮重启系统。 这时就会看到一个启动菜单， 选择其中的“删除顽固文件”一项(图4)， Wsyscheck将自动加载一个Dos系统， 然后在Dos系统中自动删除病毒文件。

　　提醒： 顺利清除系统中的病毒文件以后， 还要对被病毒破坏的系统进行修复。 点击“工具”菜单中的相关命令， 就可以进行修复隐藏文件设置、修复安全模式、清除映像劫持等操作。 此外， 该软件还可以禁用自动播放功能以及禁用Autorun.inf， 从而防范病毒通过闪存等移动设备进入电脑。

……