痛并快樂著

今天還沒有走進(jìn)辦公室，就聽見里面激烈的討論聲。仔細(xì)一聽，原來大家在討論昨晚的電視節(jié)目。一個(gè)同事見我進(jìn)了辦公室，馬上湊過來問：“昨晚你看電視沒有？里面講了很多泄露個(gè)人信息的電腦病毒事件?！绷硪粋€(gè)同事感嘆道：“現(xiàn)在的電腦病毒真可謂‘江山代有才人出，各領(lǐng)風(fēng)騷數(shù)百年。前不久流行‘貓癬下載者，最近又流行‘死牛下載者……，弄得殺毒軟件都來不及查殺了?！蔽衣犃?，不解地回道：“沒這么難吧？殺毒軟件暫時(shí)殺不了的病毒，我們可以自己做一個(gè)專殺工具來殺??！”

獲得本機(jī)安全報(bào)告

此言一出，幾位同事用詫異加懷疑的眼光看著我，我哈哈大笑：“不要以為病毒專殺工具只有專業(yè)人員才做得出來，其實(shí)我們只需要利用一個(gè)制作軟件，在它上面填寫相關(guān)病毒的信息后，就可以生成針對此病毒的專殺工具了。哈哈，是不是非常簡單?。俊庇型埋R上問道：“這個(gè)……要填寫的病毒信息你上哪兒去找？”我答道：“這個(gè)好辦，用安全軟件System Repair Engineer（以下簡稱SREng）統(tǒng)計(jì)一個(gè)本機(jī)的安全報(bào)告就行了?！?/p>

我從網(wǎng)上下載了最新版本的SREng。由于它是綠色軟件，所以下載到硬盤后解壓就可以開始進(jìn)行系統(tǒng)檢測了。首先點(diǎn)擊SREng主窗口左邊工具欄中的“智能掃描”按鈕，接著在右側(cè)窗口里選中所有的選項(xiàng)，包括所有的啟動項(xiàng)目、正在運(yùn)行的進(jìn)程、瀏覽器加載項(xiàng)和Autorun.inf等。特別強(qiáng)調(diào)，最好勾選“檢查進(jìn)程模塊的數(shù)字簽名”選項(xiàng)，這樣可以非常方便地區(qū)分病毒信息和正常信息（如圖1）。然后點(diǎn)擊“掃描”按鈕，SREng開始對所有選項(xiàng)進(jìn)行掃描。掃描完成以后點(diǎn)擊“保存報(bào)告”按鈕，將安全報(bào)告保存到一個(gè)文本文件中。

分析安全報(bào)告找病毒

當(dāng)我打開這份安全報(bào)告以后，各位同事連連喊暈，因?yàn)閳?bào)告中的內(nèi)容實(shí)在是晦澀難懂（如圖2）。

我急忙向大家解釋：“ 大家不要暈頭，用《SREngLog分析助手》這款小軟件就能看懂了?！边\(yùn)行《SREngLog分析助手》，先通過“文件導(dǎo)入”按鈕導(dǎo)入安全報(bào)告的文本文件。然后點(diǎn)擊“讀取分析”按鈕，安全報(bào)告中的內(nèi)容就分類顯示在各個(gè)標(biāo)簽頁里，這樣我就可以逐項(xiàng)進(jìn)行分析和判斷了。

這時(shí)我突然想起一件事，于是對大家說道：“我的這臺電腦昨天中了‘死牛下載者病毒，還沒徹底清除掉，所以現(xiàn)在我就做這個(gè)病毒的專殺工具吧！”在《SREngLog分析助手》的“自啟動項(xiàng)目”標(biāo)簽頁中，我發(fā)現(xiàn)一個(gè)可疑的SafeSys.exe啟動項(xiàng)，并看到系統(tǒng)中幾乎所有的安全軟件都被映像劫持了（如圖3，即列表中那些標(biāo)注為IFEO的項(xiàng)目）。一個(gè)同事問道：“SafeSys.exe這個(gè)文件看上去是非常可疑，但怎樣才能確定它就是你所說的病毒呢？”我回道：“上網(wǎng)查呀！在可疑條目上點(diǎn)擊鼠標(biāo)右鍵，選擇菜單中的‘百度搜索文件或‘Google搜索文件命令。在搜索結(jié)果中，建議先看別人寫的安全報(bào)告，確認(rèn)其是否和自己安全報(bào)告中的信息一樣，然后再看其他人的回復(fù)信息等，這樣就快就查明真相了?！?/p>

接著，我切換到“其他修復(fù)”標(biāo)簽頁，在“AutoRun項(xiàng)目”中可以看到磁盤分區(qū)根目錄里AutuRun.inf文件中的代碼信息。從這些代碼可以得知，在每個(gè)磁盤分區(qū)根目錄下都存在病毒文件SafeSys.exe和AutuRun.inf（如圖4）。我對同事說道：“有效信息不一定能夠完全分析出來，譬如病毒會破壞系統(tǒng)的安全模式，或會對局域網(wǎng)進(jìn)行ARP攻擊等。對這些破壞行為進(jìn)行修復(fù)，是我在后面編寫專殺工具時(shí)必須要考慮的?！?/p>

制作病毒專殺工具

現(xiàn)在是“萬事俱備，只欠東風(fēng)”。我下載了AntiVirusEngineer（以下簡稱AVEng），它是一款專為反病毒愛好者提供的專殺工具制作軟件。普通用戶只需要修改AVEng配置文件virus.ini中的內(nèi)容，就可以快速制作出專業(yè)的病毒專殺工具。由于該軟件采用了獨(dú)特的病毒清理和系統(tǒng)修復(fù)引擎，因而能夠快速準(zhǔn)確地清理病毒并修復(fù)系統(tǒng)中常見的故障。

我用“記事本”打開配置文件virus.ini，發(fā)現(xiàn)它其實(shí)是一個(gè)INF腳本文件。其代碼分成幾個(gè)段落，分別是軟件介紹、刪除文件、注冊表刪除和系統(tǒng)修復(fù)等。由于每段代碼都有詳細(xì)的解釋，所以身邊的幾位同事也看了個(gè)八九不離十。

[INF]

Title=死牛病毒專殺工具山寨版

Name=死牛病毒專殺工具山寨版

Version=090401

Killer=我愛應(yīng)用文摘

Log=FALSE

Copyright=專殺提供: 我愛應(yīng)用文摘 h t t p : / / w w w .pcdigest.com/

Description=####該病毒會導(dǎo)致大量安全軟件運(yùn)行失??；會下載大量盜號木馬到用戶計(jì)算機(jī)來盜取用戶賬號信息。@@# 本軟件適用于檢測清除死牛病毒。@@#

[/INF]

上面這段代碼用于設(shè)置專殺工具的相關(guān)信息，包括窗口標(biāo)題（Title）、專殺工具名稱（Name）、專殺工具作者（Killer）、界面底部版權(quán)信息（Copyright ）等。這些信息都可以根據(jù)自己的喜好隨意填寫。

[VIR]

%Progra%Common FilesSafeSys.exe

c:SafeSys.exe

c:AutuRun.inf

d:SafeSys.exe

d:AutuRun.inf

[/VIR]

以上代碼用于設(shè)置本機(jī)中病毒文件的路徑信息，病毒專殺工具就是根據(jù)這些路徑來刪除病毒文件的（注：%Progra%代表系統(tǒng)默認(rèn)的軟件安裝路徑，如C:Program Files）。

[REG]

%regdel%HKEY_LOCAL_MACHINESOFTWARE

MicrosoftWindowsCurrentVersionRunSafeSys

[/REG]

以上代碼主要是用于清理指定的注冊表項(xiàng)目或鍵值，其中當(dāng)代碼行末以“”結(jié)束時(shí)，表示刪除該項(xiàng)及其子項(xiàng)。不過上面的這段代碼只是刪除病毒的啟動鍵SafeSys。

[COR]

IFEO=TRUE

ASSOC=FALSE

HOSTS=FALSE

WINSHELL=TRUE

[/COR]

這段代碼主要是對指定的系統(tǒng)項(xiàng)目進(jìn)行修復(fù)操作，包括IFEO映像劫持（IFEO）、文件關(guān)聯(lián)（ASSOC）、hosts文件（HOSTS）和Windows Shell（WINSHELL）修復(fù)。其中要修復(fù)的寫TRUE，不修復(fù)的寫FALSE。所有的代碼填寫或修改完畢以后，保存退出。運(yùn)行AVEng，就能生成針對“死牛下載者”病毒的專殺工具了！打開這個(gè)EXE文件格式的病毒專殺工具，點(diǎn)擊其“開始掃描”按鈕，即可進(jìn)行病毒查殺和系統(tǒng)修復(fù)（如圖5）。不一會兒，我電腦中的“死牛下載者”病毒就清除干凈了。

同事們在看了我的操作之后，紛紛感嘆道：“沒想到殺個(gè)病毒這么簡單”、“原來我也可以當(dāng)殺毒高手喲”、“太好了，我也寫一些病毒專殺工具放在自己的博客上，太有成就感了”……編后語：本文主要介紹手工制作病毒專殺工具的方法，文中涉及的病毒截止發(fā)稿之日，主流的殺毒軟件都能夠查殺了。