病毒為了實現隱蔽入侵的目的，會采用各種手段來偽裝自己，來避開殺毒軟件的監(jiān)視。例如，病毒會采用免殺技術來欺騙殺毒軟件，進而肆無忌憚地侵入系統(tǒng)。一般來說，殺毒軟件對于新型病毒或者免殺病毒的防御功能是比較弱的，當您使用各種分析軟件發(fā)現病毒的蹤跡后，可以針對其制作專殺工具，來彌補殺毒軟件的不足，將病毒木馬徹底驅逐出去。使用InCtrl5這款小工具，就可以輕松實現上述功能。

圖3 InCtrl5主界面

InCtrl5的特點是可以分析目標程序運行前后，對系統(tǒng)造成的所有改動和影響，可以對注冊表、系統(tǒng)文件、驅動器等目標進行監(jiān)控，將完整的系統(tǒng)變動信息保存出來。例如，當您從網上下載了一個軟件，懷疑是盜號程序，但是使用某款免費殺毒軟件卻沒有發(fā)現端倪，于是就啟動InCtrl5，在其主界面（如圖3所示）中的“安裝程序”欄中點擊瀏覽按鈕，選擇該可疑程序，在“報告”欄中點擊瀏覽按鈕，設置報告文件存儲路徑。在“跟蹤什么”欄中點擊“注冊表”按鈕，在彈出窗口中點擊“添加”按鈕，輸入需要監(jiān)控的路徑。當然，也可以運行注冊表編輯器，選中特定的分支，點擊“獲取鍵”按鈕來導入該注冊表路徑。在默認狀態(tài)下監(jiān)控整個注冊表。點擊“驅動器”按鈕，選擇需要監(jiān)控的磁盤，默認選擇所有磁盤，一般來說，選擇系統(tǒng)盤即可。點擊“INI文件”和“文本文件”按鈕，可以添加需要監(jiān)控的各種配置文件。

點擊“開始”按鈕，InCtrl5即可對系統(tǒng)進行掃描，拍攝當前系統(tǒng)快照，然后運行目標程序，當該程序運行完畢后，再次掃描系統(tǒng)，創(chuàng)建此時的系統(tǒng)快照。當完成以上操作后，InCtrl5會顯示操作完成的提示，在掃描窗口中點擊“安裝完成”按鈕，稍后InCtrl5會自動彈出分析報告窗口，點擊“運行”按鈕，可以查看詳細的檢測報告。例如，在其中的“Contents”位置點擊“Disk Contents”鏈接，在“Files added”欄中顯示該可疑程序在系統(tǒng)中創(chuàng)建了兩個文件，在“Files delete”欄中顯示其刪除了一個文件，根據提示可以看到其刪除的是自身文件。在“Contents”位置點擊“Registery”鏈接，可以查看注冊表變化情況，發(fā)現該可疑程序在注冊表創(chuàng)建了一個啟動項。同時創(chuàng)建了一個系統(tǒng)服務。根據以上信息，可以自己動手，編輯一個批處理文件，來清除該可疑程序。