扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
图5
图6
图7
至此,隐藏的其中一个木马/病毒就被迅速的干掉了,其余的,根据注册表中的信息,挨个儿收拾就可以了。再重启系统,发现所有木马既没有自动运行,又彻底消失,改回注册表相关键值,系统完全恢复。这种方法,针对木马文件直接入手,有的放矢,提高了清除的准确性和效率。
对于高级用户和反病毒工作者,还有两点要注意的地方:
1.某些更厉害的木马、病毒,甚至一些安全监控软件,都以rootkit的形式以内核状态运行,受到操作系统保护,上面的第2步修改时,winhex会报错而无法修改。这时,选择“options”->"Edit Modes",在阅读了自动弹出的帮助提示后,在“select Mode”对话框中选择“In-Place Mode...”,这样将使winhex进入绕开操作系统直接写硬盘扇区的模式,如图8所示。此后再修改任何文件,包括windows运行所必须的文件时,都不会报错了。但是,正如winhex的帮助文件所提到的,这种操作危险性极大,操作不当,甚至可以直接导致操作系统崩溃。
图8
2.winhex还可以在木马正在运行的条件下对隐藏的木马程序进行采样,以便于以后的跟踪和分析。右键单击木马文件名,选择“Recover/Copy..”,再在弹出的对话框中确定准备将木马存放的目录,就可以在不破坏木马完整性的情况下对其进行采样了,如图9所示。
图9
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。