有的放矢 清除病毒

使用WhatChange、Install Watch等軟件，也可以監(jiān)控可疑程序運(yùn)行，分析其具體行為。這里就以小巧精悍的WhatChanged為例進(jìn)行簡單說明。例如，在使用某個(gè)注冊程序時(shí)，為了安全起見，先在虛擬機(jī)中啟動WhatChanged，在其主界面（如圖2所示）中的“掃描對象”欄中勾選所有的項(xiàng)目，對注冊表以及文件系統(tǒng)列入掃描范圍。點(diǎn)擊“抓取系統(tǒng)快照”按鈕，對系統(tǒng)進(jìn)行全面掃描，拍攝當(dāng)前狀態(tài)的系統(tǒng)快照，之后在虛擬機(jī)中運(yùn)行該可疑程序，運(yùn)行完畢后，在WhatChanged主界面中點(diǎn)擊“查看自從上次快照以來的更改內(nèi)容”按鈕，WhatChanged可以對您系統(tǒng)進(jìn)行再次掃描，并將掃描信息與上次創(chuàng)建的快照進(jìn)行比對分析，來發(fā)現(xiàn)該程序?qū)ο到y(tǒng)所做的所有更改信息。

之后在桌面上會創(chuàng)建 以“WhatChanged_Snapshot2”開頭的文件，其中包括文件變動記錄文件、注冊表變動記錄文件等，對其進(jìn)行瀏覽，可以得到該可疑程序在系統(tǒng)中建立、修改、刪除的文件列表，以及對注冊表的修改信息，對其進(jìn)行分析后，發(fā)現(xiàn)其在“C:Windows”文 件 夾中創(chuàng)建了名為“sys32”的文件夾，在其中存放了一些惡意文件，其中有個(gè)名為“explorer.exe”的 文 件，明顯是冒稱系統(tǒng)外殼文件的。此外，還在注冊表添加了啟動項(xiàng)，讓不法程序可以跟隨系統(tǒng)運(yùn)行。了解了這些，可以看待該注冊程序其實(shí)就是一個(gè)木馬程序，其中捆綁了一些可疑文件并進(jìn)行了免殺處理。在WhatChanged主界面中勾選“復(fù)制已修改的文件到目錄”項(xiàng)，可以將所有發(fā)生變動的文件復(fù)制到指定的目錄中，便于對其進(jìn)行進(jìn)一步分析。

圖2 WhatChanged運(yùn)行界面