曾经有个利刃叫做 IceSword(冰刃),这是一款功能强大的安全辅助软件,用于查探破坏系统的幕后黑手,它还运用各种新颖的内核技术,使得这些后门无所遁形。但因停更,缺乏对新系统的支持,一代经典就此陨落。
它有还算强大的自我保护功能,例如随机字串标题栏、关闭确认窗口等,所以部分病毒根本无法阻止它的运行。可以通过它来查看和管理进程(可以禁止进线程创建)、端口、服务、SPI、SSDT、内核模块、启动项目等,而且针对某些病毒屏蔽注册表和显示隐藏文件功能的情况,还提供了对注册表和文件的管理。
Process Monitor: 监视系统一举一动
Process Monitor 是款 Windows 下的高级监视软件,可以实时监视文件系统、注册表、进程、线程和 DLL 的活动情况。它结合了 Filemon 和 Regmon 的功能,并且还增加了大量的增强功能,包括筛选功能、事件属性、进程信息、线程堆栈、日志记录等。这些异常丰富的功能使 Process Monitor 成为排查系统故障和捕获恶意软件的核心实用工具。
PowerTool: 国产系统管理工具
PowerTool 可以强制结束进程和卸载模块,还可以查看文件被占用的情况并且解锁占用进程,甚至可以粉碎顽固文件还能阻止文件还原。同时可以很全面地查看管理系统信息,包括但不限于文件、进程、服务、内核、钩子、启动项、加载项、注册表和硬件信息。功能多得数不胜数。
温馨提示:这是一个内核级的软件,因此比较容易造成蓝屏或者出错,我就试过一次,建议各位谨慎使用此类软件。如果发生错误,建议将生成的 Dump 文件(可从应用程序所在目录或系统盘的 WIndows 文件夹下找到)发到作者邮箱 [email protected],它将及时分析原因并且加以改进。
仅凭三款软件清除简单病毒
前面已经介绍过了 Process Monitor、Process Explorer、Autoruns 三款软件,在故事里丽萨通过这些软件最终自行清除了病毒,但是丽萨究竟是如何通过上述软件完成目的的呢?下面就用一个简单的例子来介绍一下怎样使用这些软件。
Process Monitor 是款高级监视软件,可以实时监视文件系统、注册表、进程、线程和 DLL 的活动情况。Process Explorer 是款增强型的任务管理器,可以找出进程打开了哪些文件、注册表项和其他对象以及已加载哪些 DLL 等信息。Autoruns 可以查看哪些程序被配置为在系统启动和您登录时自动启动。
丽萨已经知道这个病毒会在可移动磁盘里生成 autorun.inf 文件,因此她打开了 Process Monitor,然后打开工具栏上的 Filter 按钮,新增一个 Path 属性包含 autorun.inf 的过滤器,然后就发现了这个病毒。丽萨随后记下它的进程名和 PID。
之后打开 Process Explorer,看到如此多的颜色,不禁愣了一下。之后她打开了 Options 菜单,找到 Configure Colors… 选项,终于明白了这些颜色各自代表什么含义。原来在默认情况下紫色代表封装过的程序,粉色代表系统服务,黄色代表 .Net 应用程序。
电脑的速度还是很慢,她打开了 View 菜单下的 System Information,在那里可以了解整个系统的运行情况。然后搜索之前记录下的 PID 为 9999(虚构)的进程,找到结果之后点击 Properties 选项就能查看它的属性,那里所提供的信息非常详尽。在按 Del 强制关闭它之前,同样先把这些信息都记录下来。
接着她打开了 Autoruns,看到满屏幕的加载列表,丽萨再次被震惊了。原来这里上面有着 Windows 以及其它程序的自动运行列表,包括驱动、控件、任务、服务、程序和动态链接库等。自动启动方式之多使得病毒非常容易加载。
为了清除残余的启动项,丽萨依照进程名搜索了一遍,然后将发现的在备份后全部删除。之后根据所记录的进程信息,寻找疑似病毒文件,并且将发现的在备份后全部删除。最后便可重启计算机,使用更为方便的软件进行修复了。
Process Explorer: 加强版任务管理器
Process Explorer 是款免费、轻巧且又强大的任务管理器软件。它可以让用户了解看不见的后台程序,并且可以帮助用户管理程序进程,还能详尽地显示计算机的信息,包括 CPU、内存、磁盘、网络的使用情况。而且还是微软著名工具包 Sysinternals 的组件之一。
这个软件可以监视、挂起、重启、强行终止任何程序,可以知道哪个程序调用了那些 DLL、句柄、模块、系统进程,还可查看进程的路径以及公司、版本等详细信息。它以目录树的形式展现进程之间的归属关系,多色彩显示服务进程,还有曲线图可供查看。他还具有很强大的搜索功能。
通过这款软件,用户可以找出进程打开了哪些文件、注册表项和其他对象以及已加载哪些 DLL 等信息。这个功能异常强大的实用工具甚至可以显示每个进程的所有者,用户还能深入了解 Windows 和应用程序的工作方式。这款软件在对 Windows 系统和应用程序进行管理、故障排除和诊断时很有帮助。
Autoruns: 启动项管理
Sysinternals Suite: Windows 工具合集
Sysinternals 实用工具在对 Windows 系统和应用程序进行管理、故障排除和诊断时很有帮助。被认为是“比微软还了解 Windows”,到了后来微软干脆就招安了这家公司,因此绝对不用担心兼容问题。这些工具每一个都非常实用,并且都可独立使用。
如果能够灵活运用它们,基本可以解决 Windows 的大部分疑难杂症,甚至还能深入了解 Windows 以及其它程序是怎样工作的。微软为了方便各位使用,特地打包这些工具,为你提供免费的 Sysinternals Suite!
