前面已经介绍过了 Process Monitor、Process Explorer、Autoruns 三款软件,在故事里丽萨通过这些软件最终自行清除了病毒,但是丽萨究竟是如何通过上述软件完成目的的呢?下面就用一个简单的例子来介绍一下怎样使用这些软件。

Process Monitor 是款高级监视软件,可以实时监视文件系统、注册表、进程、线程和 DLL 的活动情况。Process Explorer 是款增强型的任务管理器,可以找出进程打开了哪些文件、注册表项和其他对象以及已加载哪些 DLL 等信息。Autoruns 可以查看哪些程序被配置为在系统启动和您登录时自动启动。

Process Monitor.png

丽萨已经知道这个病毒会在可移动磁盘里生成 autorun.inf 文件,因此她打开了 Process Monitor,然后打开工具栏上的 Filter 按钮,新增一个 Path 属性包含 autorun.inf 的过滤器,然后就发现了这个病毒。丽萨随后记下它的进程名和 PID。

Process Explorer.png

之后打开 Process Explorer,看到如此多的颜色,不禁愣了一下。之后她打开了 Options 菜单,找到 Configure Colors… 选项,终于明白了这些颜色各自代表什么含义。原来在默认情况下紫色代表封装过的程序,粉色代表系统服务,黄色代表 .Net 应用程序。

电脑的速度还是很慢,她打开了 View 菜单下的 System Information,在那里可以了解整个系统的运行情况。然后搜索之前记录下的 PID 为 9999(虚构)的进程,找到结果之后点击 Properties 选项就能查看它的属性,那里所提供的信息非常详尽。在按 Del 强制关闭它之前,同样先把这些信息都记录下来。

接着她打开了 Autoruns,看到满屏幕的加载列表,丽萨再次被震惊了。原来这里上面有着 Windows 以及其它程序的自动运行列表,包括驱动、控件、任务、服务、程序和动态链接库等。自动启动方式之多使得病毒非常容易加载。

Autoruns.png

为了清除残余的启动项,丽萨依照进程名搜索了一遍,然后将发现的在备份后全部删除。之后根据所记录的进程信息,寻找疑似病毒文件,并且将发现的在备份后全部删除。最后便可重启计算机,使用更为方便的软件进行修复了。