作者: 张宇翔, 　出处:中国IT实验室,　责任编辑: 郭秋爽,　 2008-06-04 09:33

　　本文以一次实际的反病毒案例为大家详细介绍如何巧妙运用winhex的强大功能。希望能对大家有所帮助。

　　如今，编制病毒和木马的技术门槛变得越来越低，在Vista完全普及以前，人们在Win2000/XP/2003系统上还是主要依靠杀毒软件来进行保护。但是，反病毒企业有限的病毒工程师在遍及全球的病毒制造者面前疲于奔命的现实，注定了部分小规模流行的病毒和木马将成为“漏网之鱼”。当杀毒软件面对病毒噤若寒蝉、或者干脆就被木马关闭的时候;当单位计算机上存放有重要数据，不能轻易格式化硬盘并重装系统的时候，怎么办?

　　其实，平时常用的工具软件---winhex，完全可以提供强大的对抗病毒/木马的能力。WinHex平时主要用于16进制数据编辑，它也可以用来检查和修复各种文件、恢复删除文件等。它的强大之处在于，可以让你看到存储介质上的所有文件和数据，包括FAT32/NTFS文件系统的配置文件。最关键的是，它具有直接读写硬盘扇区的能力，并在高级安全选项中，可以选择绕开操作系统的进程保护，直接修改进程在磁盘上的的扇区数据。实际上，这个技术和目前市面上许多杀毒软件厂商采用的“底层粉碎顽固rootkit”的原理是一样的。

　　下面，我以一次实际的反病毒案例为大家详细介绍如何巧妙运用winhex的强大功能.(版本不限，笔者用的是14.8版)

　　一台部门的数据服务器，无意中连接到了某电影下载网站，网站主页恶意挂马并运行脚本，导致数分钟内，该数据服务器连续连接数个地址并下载和运行了10几个木马程序，而后自动重启。观察注册表发现，控制自动运行的“run”键和“AppInit_DLLs”下已经被塞满各类木马，见图1和图2。

　　图1

　　图2

　　因该数据服务器内有大量重要软件和数据，不能轻易格式化硬盘和重装系统。此时，系统中所带的某国产著名杀毒软件被木马关闭，双击无法打开;系统文件crugd.dll被损坏(桌面右下角反复提示);察看隐藏文件和系统文件被木马禁止;与木马有关的注册表相关选项均被锁定----典型的“狠角色”。于是使用winhex，直接从磁盘文件系统入手进行对抗。

　　对抗步骤：

　　1.执行winhex，点击"Tools"->"Open Disk.." 打开操作系统所在的驱动器盘符，该数据服务器为C盘。winhex会很快对全盘进行遍历，并根据不同的文件系统类型生成包含所有文件的多级浏览，包括NTFS特有的MFT文件和FAT32特有的FAT文件等等均可以看见。根据在注册表中的木马信息提示，双击进入windows和windowsfontsyn-XX-XX-XX-XX-XX-XXsystem目录，可发现所有被隐藏的木马程序，如图3和图4所示：

　　图3

　　图4

　　2. 接下来是整个处理步骤的关键。单击其中某一个木马程序名，在winhex的右下角数据区域会发可执行程序特有的“MZ...PE”等标志，如图5所示。鼠标点中该区域上的数据，此后在键盘上随意按键，修改之后的20--30个字节内容，破坏程序完整性即可，如图6所示。此时，木马已经被破坏，无法再次执行。为保险起见，彻底根除木马，右键单击木马文件名，选取其中的“position”->"Go To FILE Record"选项，这样winhex右下角将出现木马程序在NTFS或FAT文件系统中的文件记录信息，包括文件名等，也对其进行小幅度修改，使操作系统在重启后找都找不到该木马文件，如图7所示。但此处危险性较高，一旦改得太多，将破坏文件系统记录的完整性，直接导致其他重要文件的“失踪”。因此，这后面一步，请慎重使用。