请来超级巡警为Windows“看家护院”(上)

   敌退我进，敌攻我守，病毒/恶意程序和杀毒软件/防火墙之间的斗争一直就没有停止过。在这场“猫捉老鼠”的游戏中，谁是最后的赢家呢？不说大家也知道，杀毒软件/防火墙总是事后诸葛。应该说现如今的主流杀软和防火墙的功能已经十分强大，对付明火执仗般的病毒和恶意攻击已经是绰绰有余，但是病毒和恶意攻击见明着来不行，便给Windows来暗的，悄悄地传入了地下……

一、最难缠的病毒是“地下工作者”
1.利用Rootkit技术隐藏木马等病毒
Rootkit是黑客常用的工具，Rootkit是指那些能窃取密码、监听网络流量并留下后门的程序。通过一系列复杂的技术手段，Rootkit程序能够潜入Windows，不仅可以骗过操作系统，而且还能躲过杀毒软件和反间谍工具的扫描，并且能够获取访问系统所有数据的权限，而这些行为很难被用户所察觉，危险性极大。

Rootkit程序主要利用了Windows API（应用编程接口），它会修改系统组件之间的通信数据，从而达到隐藏自己和恶意程序的目的。为了达到更好的隐藏效果，Rootkit程序会把自己嵌入到系统的核心文件中。这也是为什么有时候杀毒软件发现病毒却不能清除的原因。

客观地说，Rootkit程序并没有直接的危害，仅是一种技术手段而已。就如同一把刀一样，普通人用的时候仅是一把刀而已，但是一旦到了歹徒手中就成了凶器。Rootkit程序的危险性也正在于此，木马等一些病毒，也可以利用Rootkit手段将自身隐藏起来，从而躲过杀毒软件的查杀和防火墙的阻拦。例如，Maslan、Padodor、灰鸽子等木马病毒已经开始利用Rootkit来隐藏自身了。”。

2.NTFS数据流木马
NTFS是Microsoft公司所推崇的文件系统，NTFS交换数据流可以被木马等病 毒所利用，成为恶意程序的理想藏身之处。
（1）认识NTFS数据流
首先用记事本建立两个文本文件，文件名为“1.txt”、“2.txt”，其内容分别为“正常文件”，“数据流文件”。打开一个命令行窗口，进入两个文件所在的文件夹，输入如下的命令：“type 2.txt>1.txt:shujuliu.txt”，回车后即可将文本“2.txt”中的内容加入到“1.txt”中，内容以数据流的形式保存在“1.txt”中，数据流的名为“shujuliu.txt”。在资源管理器中查看宿主文件“1.txt”，将会发现文件没有发生任何变化，无论是文件修改日期还是文件的体积都保持原样。现在删除“2.txt”文件，执行命令“notepad 1.txt:shujuliu.txt”即可查看到数据流中的文件内容了。
（2）制作NTFS数据流木马
利用NTFS数据流，我们可以在图片、视频、文本、或是其他任意格式的文件中插入一个木马文件不仅在外观上没有任何变化，而且杀毒软件也无法查杀出来。制作过程与上面的方法一样，只不过将“2.txt”文件名换为木马程序的文件名，将“1.txt”的文件名换位宿主文件的文件名即可。
（3）自解压传播流木马
前面我们提到NTFS数据流木马只能在NTFS分区上保存，通过网络传输或是邮件的方式，流木马都会消失。那么，该如何让木马能够在网络上传输呢？很简单，用WinRAR制作成自解压文件即可。为慎重起见，这里不涉及具体的制作方法了。

二、有我警察在，尔等休猖狂
前面，我们讲过目前杀毒软件和反间谍软件对付Rootkit恶意程序或NTFS数据流木马都显得力不从心，那么，该如何有效地防范这些“贼人”呢？不妨请个警察来“看家护院”。
超级巡警（下载地址：http://www.crsky.com/soft/8874.html）可以有效杀灭用ROOTKIT技术隐藏的木马、病毒或一些恶意程序，如：HACKDEF、NTRootKit、灰鸽子、PCSHARE、FU RootKit、AFX RootKit。有效对付“SVCHOST宿主加载，进程感染， SPI链挂接”的各种后门，对抗越来越猖獗的流氓软件以及查杀NTFS数据流木马，可以有效弥补传统杀毒软件的不足。
1.查杀隐藏的木马、恶意程序
程序是一款绿色软件，解压后双击“AST.exe”运行主程序。在程序主界面中切换到“扫描检测”标签页，然后单击“设置”标签，勾选“启用Rootkit检测模块”和“启用NTFS数据流扫描”复选框（如图1），这样就可以查杀Rootkit恶意程序和NTFS数据流木马了。为了进行彻底查杀，建议用户同时勾选“扫描类型”下的“包裹（rar、zip、cab、chm）”复选框，最后单击“全面扫描”按钮，对系统进行彻底查杀即可。应该说超级巡警的查杀能力还是蛮强大的在利用其查杀前，笔者首先用瑞星进行了查杀，没有发现病毒，然后又用超级巡警进行了查杀，居然查杀出25个病毒，特别是将困扰笔者多日的4199病毒给清除掉了，实属意外收获（如图2）。

 

小提示：4199病毒可以把浏览器首页篡改为4199.com，禁止用户访问一些重点反恶意软件厂商的官方网站，手段极为恶劣。其原理是捆绑在QQ安装目录下的“qqst.dll”，还有“c:\windows\system32”下的rsrc.dll，并且其会插入到“Explorer”进程，使用户无法删除它们。另外，如果用户的QQ不是安装在C盘，那么，格式化重装系统也不行，重装后浏览器会被立即绑架到4199.com。