自制病毒專殺工具

病毒為了實現(xiàn)隱蔽入侵的目的，會采用各種手段來偽裝自己，來避開殺毒軟件的監(jiān)視。例如，病毒會采用免殺技術(shù)來欺騙殺毒軟件，進(jìn)而肆無忌憚地侵入系統(tǒng)。一般來說，殺毒軟件對于新型病毒或者免殺病毒的防御功能是比較弱的，當(dāng)您使用各種分析軟件發(fā)現(xiàn)病毒的蹤跡后，可以針對其制作專殺工具，來彌補殺毒軟件的不足，將病毒木馬徹底驅(qū)逐出去。使用InCtrl5這款小工具，就可以輕松實現(xiàn)上述功能。

圖3 InCtrl5主界面

InCtrl5的特點是可以分析目標(biāo)程序運行前后，對系統(tǒng)造成的所有改動和影響，可以對注冊表、系統(tǒng)文件、驅(qū)動器等目標(biāo)進(jìn)行監(jiān)控，將完整的系統(tǒng)變動信息保存出來。例如，當(dāng)您從網(wǎng)上下載了一個軟件，懷疑是盜號程序，但是使用某款免費殺毒軟件卻沒有發(fā)現(xiàn)端倪，于是就啟動InCtrl5，在其主界面（如圖3所示）中的“安裝程序”欄中點擊瀏覽按鈕，選擇該可疑程序，在“報告”欄中點擊瀏覽按鈕，設(shè)置報告文件存儲路徑。在“跟蹤什么”欄中點擊“注冊表”按鈕，在彈出窗口中點擊“添加”按鈕，輸入需要監(jiān)控的路徑。當(dāng)然，也可以運行注冊表編輯器，選中特定的分支，點擊“獲取鍵”按鈕來導(dǎo)入該注冊表路徑。在默認(rèn)狀態(tài)下監(jiān)控整個注冊表。點擊“驅(qū)動器”按鈕，選擇需要監(jiān)控的磁盤，默認(rèn)選擇所有磁盤，一般來說，選擇系統(tǒng)盤即可。點擊“INI文件”和“文本文件”按鈕，可以添加需要監(jiān)控的各種配置文件。

點擊“開始”按鈕，InCtrl5即可對系統(tǒng)進(jìn)行掃描，拍攝當(dāng)前系統(tǒng)快照，然后運行目標(biāo)程序，當(dāng)該程序運行完畢后，再次掃描系統(tǒng)，創(chuàng)建此時的系統(tǒng)快照。當(dāng)完成以上操作后，InCtrl5會顯示操作完成的提示，在掃描窗口中點擊“安裝完成”按鈕，稍后InCtrl5會自動彈出分析報告窗口，點擊“運行”按鈕，可以查看詳細(xì)的檢測報告。例如，在其中的“Contents”位置點擊“Disk Contents”鏈接，在“Files added”欄中顯示該可疑程序在系統(tǒng)中創(chuàng)建了兩個文件，在“Files delete”欄中顯示其刪除了一個文件，根據(jù)提示可以看到其刪除的是自身文件。在“Contents”位置點擊“Registery”鏈接，可以查看注冊表變化情況，發(fā)現(xiàn)該可疑程序在注冊表創(chuàng)建了一個啟動項。同時創(chuàng)建了一個系統(tǒng)服務(wù)。根據(jù)以上信息，可以自己動手，編輯一個批處理文件，來清除該可疑程序。