尽管杀毒软件曾经剿灭木马、病毒无数,但是如今黑客在也不像以前那样“单
纯”,他们几乎都会将所侵入的木马,或者病毒加上一层厚厚的“伪装盔甲”,来防止杀毒软件的追杀。其不仅可以起到迷惑杀毒软件的作用,而且还
可以使其潜伏的恶意程序,正常的运作在操作系统内。如果碰到这种情况,大家不妨通过程序监视软件,知道系统前后发生的变化,从而找到捣乱的罪魁祸首。
一、监视程序安装的整个过程
用户在安装完操作系统后,都会对自己以后所要用到第三方应用软件,进行一番快
速安装。但是在安装完毕后,有些用户却发现自己的系统,出现了一
些莫名其妙的变化,比如流氓软件的恶意插入,以及未安装过的助手软件也来凑热闹等情况。
“客户端”程序,在弹出的“Inctrl程序监视”软件界面内。单击“安装程序”标签后的“浏览”按钮,从中选择想要检测的安装程序,然后单击“开
始”按钮,此时就会检测安装程序的各个指标,同时还会保存所检测出来的数据(如图1)。
windows安装控制
等到检测完毕后,就会自动弹出其应用程序的安装向导,用户可根据提示操作完成即可。
接下来顺“原路”返回到刚才的检测界面,单击“安装完成”按钮,这时Inctrl程序监视软件,就会将安装完程序后的数据报告反馈给大家(如图2)。
报告预览
通过其反馈的信息,就会很容易找到其所安装的程序文件,以及恶意插件等,这样一来删除其恶意插件也就易如反掌了。
二、注册表变化我知道
病毒木马在侵入系统后,除了会在其系统安放自己的后门,还会在注册表里写入
一些相关的恶意键值,以便其系统重启会自动调用加载的木马,所以说
监控注册表的日常变化,也是尤为重要的。
1. 查找共享程序的注册码键值
在系统安装完软件后,其所谓加载的注册表键值到底保存在哪呢?如果大
家通过手动在注册表里,对其键值进行一一查询,这有如大海捞针一样难上加难。不
过有了Regmon监控软件,就会使的一切操作变的很简单,它是一款出色的注册表数据库监视软件,它将与注册表数据库相关的一切操作(如读取、修
改、出错信息等)全部记录下来以供用户参考,并允许用户对记录的信息进行保存、过
滤、查找等处理,从而为用户对系统的维护提供了极大的便利。
为了查找到软件注册码,首先我们将想要查找的软件运行,然后按住
Ctrl+Alt+Del的组合键,打开“Windows任务管理器”对话框。此时默认切入的是“应用程序”标签,从中我们找到并且右击刚才所运行的软件名称,选择
“转到进程”选项,这样其“Windows任务管理器”,就会自动跳转到该软件应用程序所运行的进程处(如图3)。
任务管理器
记录其程序运行的进程名后,打开“Regmon监控软件”客户端程序,为了便于监视
其程序所运行的进程,这里在界面内依次单击上方“选项”→“
regmon过滤
并且勾选上下面所有功能子项,这样以后Regmon监控软件,就会只监视你所设定
的程序进程了。
不过对于此前还没有开始输入注册码,其软件就已经执行了监视且记录,
我们要将其删除要不很容易会弄混淆。这里单击“编辑”菜单,选择“清除显示”的选项,编辑区里所记录的监视数据就会被清空。而后重新启动一下所要记录的软件,
在其界面单击“关于”菜单,开始输入注册码。操作完毕后,顺
原路返回到Regmon监控界面,此时你就可以在编辑区里,找到监测用户名和密码所对
应的键值,我们将其选中后,依次单击上方“编辑”→“注册表跳转”选项,这时就会自动打开“注册表”编辑器,并且展开到与其键值相同的位置
后,我们将其键值导出后,重装所记录键值的软件程序,再将其键值注册表导入,即
可快速执行注册。
2. 提取优化软件功能,实现自身快速优化
众所周知,优化软件对其系统进行优化,除了在文件方面做以清除垃圾外,还会在注册表里进行清理优化。而到底它们是如何做到的呢?相信有很多朋友为此会感到
好奇,并且也想拥有其属于自己的优化功能,下面笔者将会教
大家如何从超级兔子优化软件身上,扒下其优化功能的“外衣”。
这里打开“超级兔子上网精灵”客户端程序,同上方操作方法一样在
“Windwos任务管理器”对话框内,找到“超级兔子上网精灵”所运行的进程Iepro.exe(如图5),
任务管理器列表
将其添加到Regmon监控进程中后。顺原路返回到“超级兔子上网精灵”界面,在
其左侧单击“IE免疫”标签,然后在编辑区内单击限制网站和屏蔽网址
后的“详细设置”按钮,此时就会弹出“限制网站和屏蔽网址”的对话框(如图6)。
超级兔子上网精灵
从中切入至上方“屏蔽网址”标签,并且勾选上里面任意一个恶意网址后,单击
“确定”按钮使其设置生效。操作完毕后,返回到Regmon监控界面,
找到你所监视屏蔽的恶意网址,单击“编辑”→“跳转注册表”选项,这时系统就会
打开“注册表编辑器”对话框,并且自动展开到其所对应的键值。而后我们在将其键值导出,如果以后你要想用到超级兔子的站点免疫功能,无须运
行其软件,只要运行其导出的注册表,即可实现免疫效果,当然对于其他网站的免
疫,你只要将其注册表里面,所屏蔽的网站换成想要免疫的网址,也可实现相同的防御效果。
三、系统服务的监视更为重要
之前我们说过木马病毒在侵入系统后,会在其系统安放自己的后门,但是殊不知
其后门,还会在系统内开放属于它自己的危险服务。一般情况下这种服
务,会将其服务名称伪装成与系统服务相近的名字,从而达到迷惑我们将它误认为正常服务的目的。不过现在有了Winservices软件,其骗术伎俩就会如影随形的暴露出
来,但是有个条件就是需要你要按照以下的方法进行操作。
在做Winservices快照操作之前,请务必保证系统是纯净的,换句话说就是没有
病毒和木马的侵入痕迹。然后在从网上下载安装Winservices软件,运行其里面的客户端程序,接下来在弹出的软件界面内,依次单击上方“文件”
→“保存快照”选项,根据出现的提示将其服务快照保存为“*.rpt”文件。操作完毕后,其程序会时时刻刻监视系统服务的一举一动,如果服务与快照印入的服务有出
入,它会给予相应的警告提示。当然你要想恢复快照时的安全系
统,只要在安全模式下运行Winservices软件,并且单击“Winservices软件”→“恢复服务”选项,从中找到快照保存的系统服务文件。然后在系统服务显示前后变化结
果里,按照程序提示展开非法系统服务的注册表,将其恶意
键值进行删除,另外别忘了根据服务路径将其非法文件也一起删除。
四、跟踪监视自启动功能
病毒木马加载到系统后,都会在其自启动功能里,载入其危险的启动程序,
以便系统重启后会连同病毒也一起激活。如果你要想铲除所加载进来的病毒启动程序,首先需要定制一套全面监控的自启动防御措施,这样当自启动程序与原来正常状
态发生变化时,我们就可以轻易发现其作恶的程序,从而可以将
其“连根拔起”。
不过实现以上跟踪监视,需要借助第三方Startup Agent工具,来实现监视自启
动功能。它是一款计算机安全保护软件,能够在系统启动过程中,监视
系统的注册表、启动文件和系统服务,以防止广告程序、蠕虫病毒和特洛伊木马。如果发现注册表等有所改变,就会发出一个报警信息,可以由你来决定是
否删除它。这里打开Startup Agent软件的操作界面,将里面随系统启动和监视所有的功能选项全部勾选上(如图7),
Startup Agent软件的操作界面
而后单击“Save(保存)”按钮,就会开始执行以上所勾选的监视项。以后倘若有
马进入,并且试图在注册表里加载自启动,此时正在全程监视的
Startup Agent软件,就会弹出危险警告的提示对话框,我们点击“NO”按钮,即可禁
止其加载自启动项。
五、手动也可轻松制作监视器
如果你不想通过以上的监视工具,来完成对系统的全程监视,也可以自己手动制
作一个功能强大的监视器,对其系统做以全面跟踪。具体方法如下所示:依次单击“开始→所有程序→附件→系统工具→备份”选项,在弹出的
“备份”对话框内,选择所要备份的内容,一般情况下我们会将其定位到系统目录
下。然后在执行向导的下步操作,将备份文件保存到任意盘符,不过你要将其位置记住,接下来单击“高级”,将备份类型设置为“增量备份”后。再
次继续执行向导的下步操作到设定备份时间内,单击“设定备份计划”按钮,时间可
以根据自己的情况来确定。
然后进入C:\Windows\tasks目录,找到刚才建立的备份系统目录计划,
并且右击其计划选择“运行”选项,这样就会对其系统目录实施备份。这样以后当系统遇到病毒或者木马侵入,并且在系统目录载入危险文件后,等到下次
开机时备份计划就会把增加的文件,添加到备份文件夹内,即可快速找到所加入的危险文件,从而我们可以立即将其删除。
