winhex应用----从文件系统底层清除木马 （下）

图5

图6

图7

    至此，隐藏的其中一个木马/病毒就被迅速的干掉了，其余的，根据注册表中的信息，挨个儿收拾就可以了。再重启系统，发现所有木马既没有自动运行，又彻底消失，改回注册表相关键值，系统完全恢复。这种方法，针对木马文件直接入手，有的放矢，提高了清除的准确性和效率。

   对于高级用户和反病毒工作者，还有两点要注意的地方：

    1.某些更厉害的木马、病毒，甚至一些安全监控软件，都以rootkit的形式以内核状态运行，受到操作系统保护，上面的第2步修改时，winhex会报错而无法修改。这时，选择“options”->"Edit Modes",在阅读了自动弹出的帮助提示后，在“select Mode”对话框中选择“In-Place Mode...”，这样将使winhex进入绕开操作系统直接写硬盘扇区的模式，如图8所示。此后再修改任何文件，包括windows运行所必须的文件时，都不会报错了。但是，正如winhex的帮助文件所提到的，这种操作危险性极大，操作不当，甚至可以直接导致操作系统崩溃。

图8

    2.winhex还可以在木马正在运行的条件下对隐藏的木马程序进行采样，以便于以后的跟踪和分析。右键单击木马文件名，选择“Recover/Copy..”,再在弹出的对话框中确定准备将木马存放的目录，就可以在不破坏木马完整性的情况下对其进行采样了，如图9所示。
　

图9