引言： 提起反病毒，大家都會想到各種殺毒軟件。殺軟的確是保衛(wèi)系統(tǒng)安全的利器，不過，在很多人印象中，只要裝上了殺軟，并及時更新病毒庫，就萬事大吉了，再也不用擔(dān)心病毒木馬等惡意程序的侵擾了。這種觀點存在一定的誤區(qū)。因為病毒技術(shù)實際上是領(lǐng)先于殺軟的，往往是出現(xiàn)了新病毒后，殺軟才通過提取特征碼等手段，將其納入查殺范圍。。如果一種新型的病毒（包括免殺型病毒）來襲的話，殺軟未必能夠攔截清除。

提起反病毒，大家都會想到各種殺毒軟件。殺軟的確是保衛(wèi)系統(tǒng)安全的利器，不過，在很多人印象中，只要裝上了殺軟，并及時更新病毒庫，就萬事大吉了，再也不用擔(dān)心病毒木馬等惡意程序的侵擾了。這種觀點存在一定的誤區(qū)，因為病毒技術(shù)實際上是領(lǐng)先于殺軟的，往往是出現(xiàn)了新病毒后，殺軟才通過提取特征碼等手段，將其納入查殺范圍。如果一種新型的病毒（包括免殺型病毒）來襲的話，殺軟未必能夠攔截清除。甚至?xí)霈F(xiàn)殺軟對該病毒視而不見，任其自由“活動”的尷尬。其實，很多殺軟已經(jīng)對此已經(jīng)提供了防御之道，通過創(chuàng)建系統(tǒng)分析報告等技術(shù)，來發(fā)現(xiàn)深度隱藏的病毒木馬。例如，卡巴斯基提供的創(chuàng)建系統(tǒng)狀態(tài)報告，

圖1 創(chuàng)建系統(tǒng)報告

NOD32提供的SysInspector等技術(shù)，就可以讓未知病毒露出馬腳。這里，我們以常用的卡巴斯基2014為例，來說明如何通過其內(nèi)置的AVZ腳本，來清除未知病毒。

本例就以清除某病毒為例進行說明，單位的一臺電腦最近出現(xiàn)運行異常的現(xiàn)象，懷疑是有病毒木馬等惡意程序侵入。但是，使用卡巴斯基2014進行掃描，卻沒有發(fā)現(xiàn)病毒的行蹤?？磥怼Ｒ词切滦筒《?，要么是該病毒針對卡巴斯基進行了免殺處理。在系統(tǒng)托盤中的卡巴斯基2014圖標右鍵菜單上點擊“設(shè)置”項，在設(shè)置窗口底部點擊“技術(shù)支持”鏈接，在彈出窗口中點擊“支持工具”按鈕，之后點擊“創(chuàng)建系統(tǒng)狀態(tài)報告”鏈接（如圖1），卡巴斯基即開始分析系統(tǒng)數(shù)據(jù)，收集相關(guān)數(shù)據(jù)，對進程，加載的模塊，系統(tǒng)服務(wù)，驅(qū)動，自運行程序等對象進行分析統(tǒng)計。

完成后點擊“顯示已收集的系統(tǒng)信息”按鈕，會自動打開“C:Document sand SettingsAll UsersApplication DataKaspersky LabAVP14.0.0AVZ”文件夾，在其中看到以“sysinfo.zip”文件，其中包含具體的分析數(shù)據(jù)。注意，該壓縮包受到卡巴斯基的保護，是無法直接解壓的。可以將其復(fù)制到別的位置，進行解壓處理。解壓后得到“avz_sysinfo.htm”和“avz_sysinfo.xml”兩個文件。雙擊“avz_sysinfo.htm”文件，在瀏覽器中就可以查看分析報告的內(nèi)容了。

可以查看關(guān)于進程，已經(jīng)加載的模塊，內(nèi)核空間模塊，服務(wù)，驅(qū)動程序，自動運行程序，Microsoft Internet Explorr擴展模塊，資源管理器擴展模塊，打印系統(tǒng)擴展，計劃任務(wù)，SPI/LSP設(shè) 置，TCP/UDP端口，Downloaded Program Files，控制面板程序，HOSTS文件，協(xié)議和管理者，共享資源，可能感染的對象，主要分析腳本等涉及系統(tǒng)方方面面的統(tǒng)計信息。

圖2 查閱進程報告信息

為了便于觀察，卡巴斯基會使用不同的色彩來標識相關(guān)信息的危險等級。例如，綠色的項目表示合法的系統(tǒng)信息，黃色的項目表示第三方的信息，紅色的項目標識可能對系統(tǒng)安全造成威脅的對象。對于紅色的項目，我們需要特別注意，尤其是與其對應(yīng)的表格中沒有版權(quán)，銷售商，描述信息等數(shù)據(jù)，就說明該紅色項目極具危險性。在每一行信息的下方，都有一個腳本操作區(qū)，包括隔離，刪除，BC刪除，終止等鏈接。例如，在進程列表中就發(fā)現(xiàn)兩個名為“winreport.exe”和“config32.exe”的進程可疑，兩者都沒有具體的描述信息。在上述進程的底部分別點擊“中止”，“刪除”和“BC刪除”鏈接，將上述進程中止并刪除與之關(guān)聯(lián)的程序?！癇C”為“BootCleaner”，即在重新啟動電腦進入系統(tǒng)之前將可疑文件刪除之意。對于加載到內(nèi)存又頑固不化的家伙（例如DLL木馬等），只能使用該方式進行刪除。

在報告的第二部分“內(nèi)核模塊”欄中發(fā)現(xiàn)了一個名為“zojsopr.dll”的模塊很可疑，在其描述和版權(quán)信息欄為空白，估計是一個免殺的木馬文件，點擊其下方的“刪除”鏈接，試圖刪除該文件，但是卻無法正常刪除。為此，可以點擊“BC刪除”鏈接，將其發(fā)送到刪除列表中。在查看“驅(qū)動程序”信息時，發(fā)現(xiàn)名為“devlview.sys”的驅(qū)動文件形跡可疑，應(yīng)該是木馬用來隱藏服務(wù)端程序所用，同樣點擊“BC刪除”連接將其發(fā)送到刪除列表中。找到并清除了可疑的程序后，在報告底部的“腳本命令”欄中顯示我們設(shè)計的清除腳本：

接下來繼續(xù)分析系統(tǒng)報告，發(fā)現(xiàn)了用來啟動該木馬的服務(wù)項目，病毒服務(wù)的名稱為“Syssndrv”。另外Hosts文件也被修改了。但若干，在具體的清理過程中，需要您過仔細檢查系統(tǒng)報告的各個部分，將發(fā)現(xiàn)的可疑文件全部刪除。例如，病毒文件“Ald2790.dll”插入到了進程“explorer.exe”中，就是通過對注冊表中的“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks”分支下創(chuàng)建非法鍵值名來實現(xiàn)的。

在系統(tǒng)報告中只需在對應(yīng)文件或者啟動項位置點擊刪除鏈接，就可以將其清除。利用最后在上述腳本欄尾部有添加了“ExecuteSysClean;”，“BC_Active;”，“RebootWindows(true);”等語句，分別表示刪除所有和病毒關(guān)聯(lián)的啟動項，激活BootCleaner并立即重啟系統(tǒng)，最終的腳本為：

返回技術(shù)支持窗口，點擊“運行腳本”鏈接，在腳本窗口中輸入上述代碼，之后點擊“執(zhí)行”按鈕，系統(tǒng)就會自動重啟，在下次進行系統(tǒng)之前，卡巴斯基就會執(zhí)行該腳本，來清除木馬程序了。當(dāng)病毒清除完畢后，在打開系統(tǒng)路徑下的“HOSTS”文件，將其中雜亂的地址信息刪除恢復(fù)其原貌即可。