看清病毒干的那些事

病毒都在系统中生出哪些文件？是我们最为关心的问题，也是手动查杀病毒的关键。病毒种类众多，且变种迅速，用户根本就没办法记住病毒的文件名，也没有任何的实际意义。那么，如何从几百万，上千万个系统文件中分辨出病毒呢？借助于毒眼集成安全系统（下载地址：http://www.e-scout.com.cn/）就可以让自己具有一双火眼金睛，成功撕破病毒的画皮。

安装完毕，重启计算机，然后右键单击托盘区的毒眼图标，选择“毒眼安全检测”命令，毒眼会对整个电脑进行全面分析检测。检测完毕，毒眼会将其认为有危险的文件全部列出。当然这些危险文件并不一定都是病毒，但病毒肯定包含在其中。具体哪一个是病毒还要具体问题具体分析。选中危险文件，在“与危险文件关联的程序”列表中会调用危险文件的程序，在这里可以初步发现病毒的踪迹（如图1）。

接下来，单击“毒眼分析”按钮，在接下来的窗口中可以进一步确认危险文件是不是病毒文件。如果我们怀疑是病毒文件，但又不太敢肯定，那么，可以单击“监禁”，把疑似病毒文件关进监狱。如果使用几天后系统没什么异常，那么就可以放心大胆地予以删除了。


病毒对注册表修改了什么

病毒，特别是木马文件为了做到自启动，往往会在注册表中添加启动选项，那么这些自启动选项在哪里呢？大多数病毒是通过在“HKEY_LOCAL_

MACHINE\\SOFTWARE\\Microsoft\\Windows\\Current

Version\\Run”或“HKEY_CURRENT_USER\\

Software\\Microsoft\\Windows\\CurrentVersion\\Run”上添加键值来完成的，比较狡猾的病毒还会在其他一些地方添加键值。要一一找出，需要借助于注册表监视工具的帮助。Sundy注册表监控 V2.86（下载地址http://www.skycn.com/soft/29169.html）。下载解压完毕，运行其中的可执行文件，在弹出来的窗口中选择“允许写注册表操作”，同时选中“将所有操作都记入日志文件”、“软件随系统启动”复选框，单击“应用”按钮，以后当怀疑中毒后就可以在日志文件中查找病毒修改了哪些注册表项了。


病毒都创建了哪些服务

很多服务型的木马病毒会在系统中创建病毒服务，以达到其运行、感染和传播的目的，那么在众多的服务中哪些是病毒服务，哪些是正常的系统服务呢？

在运行对话框中键入“Msconfig”，回车后打开系统配置实用程序窗口。切换到“服务”选项卡，在其下服务列表中列出了当前系统中的所有服务，将“隐藏所有Microsoft服务”复选框选中，这时剩下的就都是非系统自身的服务了（如图2）。另外，在该窗口中，切换到“启动”选项卡，还可以查看在启动选项列表框中是不是有病毒的启动项。

接下来，在运行对话框中键入“services.msc”命令，回车后打开服务管理窗口。然后在服务列表中逐一找到刚才在系统配置实用程序窗口中显示的非系统服务。在服务管理窗口中，将这些非系统服务双击，一一打开，在“常规”选项卡下“可执行文件路径”文本框中就可以看到服务的可执行文件的位置，如果不是自己安装的杀毒软件、办公软件或其他第三方工具，那么，则可以肯定是病毒服务和病毒文件（如图3）。

对于一些隐藏起来的服务用上述方法是查不到的，这时要借助于冰刃(IceSword)了。冰刃(IceSword) V1.22 中文版（下载地址：http://www.skycn.com/soft/37828.html）。