當(dāng)您從網(wǎng)上下載了一個軟件，但是對其安全性有所懷疑時，在運行該程序之前，為了安全起見，最好在虛擬機(jī)中對其進(jìn)行分析測試。在虛擬機(jī)中啟動Total Uninstall這款工具，在其主界面工具欄依次點擊“已監(jiān)控程序”和“安裝”按鈕，點擊“下一步”按鈕，Total Uninstall開始拍攝系統(tǒng)當(dāng)前快照，之后在“程序名稱”欄中輸入目標(biāo)程序名稱，例如“病毒檢測”，選擇需要檢測的可疑程序，點擊“啟動安裝程序”按鈕，激活該可疑程序。如果是病毒或者木馬程序的話，往往會發(fā)現(xiàn)其不像正常軟件一樣出現(xiàn)安裝界面，而是幾乎沒有任何反應(yīng)，這就說明該惡意程序已經(jīng)悄然運行了。

圖1 在Total Uninstall查看監(jiān)控信息

之后點擊“程序已安裝”按鈕，Total Uninstall再次拍攝系統(tǒng)快照。在Total Uninstall主界面（如圖1所示）中的“已監(jiān)控”欄中選擇“病毒檢測”項，在窗口右側(cè)打開“文件系統(tǒng)”節(jié)點，看到該病毒在“C:Program FilesCommon FilesMicrosoft SharedMSInfo”文件夾中生成了一個記錄文件、一個病毒主文件。在“C:Windows”中創(chuàng)建了名為“reserver.exe”的程序，之后在“C:WindowSystem32”文件夾中生成了名為“_rejoince.exe”的隱藏文件，而且病毒很快就刪除了“C:Windows”中“reserver.exe”文件來隱蔽自身行蹤。在“注冊表”欄中看到該病毒將自身偽裝成了名為“系統(tǒng)媒體服務(wù)”的服務(wù)，并指向上述路徑中的病毒程序。清除病毒的方法是重啟電腦進(jìn)入安全模式，根據(jù)以上線索將病毒文件全部刪除，在注冊表編輯器中打開“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices”分支，刪除其下的“Windows Media Service”子鍵，該病毒就徹底失去了活力。