重劍

木馬、病毒等的橫行，催生了許多安全工具，這類工具的功能雖然主要是針對(duì)安全威脅的，但合理利用，在解決系統(tǒng)故障方面同樣能大展手腳。

解決無(wú)法運(yùn)行的軟件

有不少人遇到過(guò)某款軟件總是無(wú)法運(yùn)行的故障，即使重裝軟件也無(wú)法解決。觀察硬盤指示燈，明明看到在讀取數(shù)據(jù)，打開任務(wù)管理器也能看到軟件進(jìn)程。出現(xiàn)這種奇怪的情況，很有可能是Windows的映像劫持功能“IFEO”（Image File Execution Options）在作祟。

想要解決這一問(wèn)題，這里推薦使用PowerTool。PowerTool成功運(yùn)行后，就會(huì)對(duì)當(dāng)前系統(tǒng)的安全性進(jìn)行分析掃描，一旦發(fā)現(xiàn)有問(wèn)題的內(nèi)容后就會(huì)用紅色進(jìn)行顯示（圖1）。比如我們這里已經(jīng)顯示出映像劫持有問(wèn)題，那么點(diǎn)擊軟件窗口中的“應(yīng)用層”標(biāo)簽，接下來(lái)再點(diǎn)擊下面的“鏡像劫持”子標(biāo)簽。這樣就可以在列表中顯示出所有的映像劫持內(nèi)容，選中這些項(xiàng)后，右擊，選擇右鍵菜單中的“修復(fù)”按鈕（圖2）。當(dāng)重新啟動(dòng)系統(tǒng)后，被劫持的軟件即可正常運(yùn)行了。

查找危險(xiǎn)的進(jìn)程

要想了解Windows系統(tǒng)當(dāng)前的運(yùn)行狀況，查看當(dāng)前的進(jìn)程是非常重要的途徑。但是通過(guò)任務(wù)管理器進(jìn)行查看的話，并不能了解到所有進(jìn)程的實(shí)際情況。因?yàn)橛械倪M(jìn)程被電腦病毒等進(jìn)行了隱藏，而有的則是利用了線程插入技術(shù)，借用其它的進(jìn)程完成操作。如何才可以更好地查看和管理這些進(jìn)程信息呢？

點(diǎn)擊PowerTool窗口中的“進(jìn)程管理”標(biāo)簽，就可以對(duì)系統(tǒng)中的進(jìn)程進(jìn)行分析判斷。為了方便普通用戶的查看，軟件通過(guò)不同的顏色來(lái)區(qū)分不同的進(jìn)程信息。比如黑色代表Windows系統(tǒng)自身的進(jìn)程，而藍(lán)色則代表第三方軟件的進(jìn)程。除此以外，通過(guò)進(jìn)程列表中的“進(jìn)程類型”選項(xiàng)，就可以進(jìn)一步顯示出進(jìn)程的相關(guān)介紹。如果這里沒(méi)有任何顯示的話，那么自然就是重點(diǎn)關(guān)注的項(xiàng)目。當(dāng)我們選擇一個(gè)進(jìn)程以后，點(diǎn)擊鼠標(biāo)右鍵選擇菜單中的命令，就可以對(duì)其進(jìn)行管理操作。如果用戶對(duì)某個(gè)進(jìn)程有懷疑的話，點(diǎn)擊“上傳到Virustotal進(jìn)行病毒掃描”命令，就可以對(duì)進(jìn)程對(duì)應(yīng)文件的安全性進(jìn)行分析（圖4）。如果發(fā)現(xiàn)該進(jìn)程的確是有問(wèn)題，那么點(diǎn)擊“結(jié)束進(jìn)程”命令可關(guān)閉該進(jìn)程。

紅色則是被進(jìn)行線程插入的進(jìn)程，也是需要用戶重點(diǎn)關(guān)注的進(jìn)程信息。當(dāng)用戶用左鍵選擇一個(gè)進(jìn)程后，在窗口下方的“模塊”列表中，就可以顯示出所有的模塊信息。同樣點(diǎn)擊鼠標(biāo)右鍵可以對(duì)模塊文件進(jìn)行管理，比如點(diǎn)擊“檢測(cè)數(shù)字簽名”命令，就可以查看數(shù)字簽名的真實(shí)性。如果發(fā)現(xiàn)數(shù)字簽名有問(wèn)題的話，不要直接對(duì)進(jìn)程進(jìn)行關(guān)閉操作。因?yàn)檫@些插入的進(jìn)程往往是系統(tǒng)進(jìn)程，如果直接結(jié)束進(jìn)程的話，就會(huì)出現(xiàn)系統(tǒng)藍(lán)屏的情況。我們可以在選擇模塊文件后，單擊右鍵菜單選擇“普通卸載模塊并刪除模塊文件”命令，就可以在解除模塊和進(jìn)程的關(guān)聯(lián)后刪除相關(guān)的模塊文件（圖5）。

修復(fù)引導(dǎo)區(qū)

當(dāng)系統(tǒng)出現(xiàn)問(wèn)題后，許多人可能會(huì)選擇重裝系統(tǒng)。但是讓人疑惑的是，不少剛剛安裝的操作系統(tǒng)就有病毒，再次重裝還是如此。出現(xiàn)這一現(xiàn)象可能由兩種情況導(dǎo)致，首先就是系統(tǒng)里面的程序文件被感染，當(dāng)用戶再次運(yùn)行被感染的程序后，操作系統(tǒng)被重新感染。其次就是病毒的源頭并不在系統(tǒng)中，而是在磁盤的引導(dǎo)區(qū)中。這樣在電腦啟動(dòng)的時(shí)候，隱藏在引導(dǎo)區(qū)中的病毒就會(huì)再次感染系統(tǒng)。要想對(duì)第二種情況進(jìn)行防范，只能對(duì)磁盤的引導(dǎo)區(qū)進(jìn)行修復(fù)才行。

點(diǎn)擊PowerTool操作窗口中的“系統(tǒng)修復(fù)”標(biāo)簽，在出現(xiàn)的新窗口里面選擇“主引導(dǎo)記錄（MBR）”子標(biāo)簽。如果用戶只安裝了一塊硬盤的話，那么直接點(diǎn)擊窗口下方的“檢測(cè)”按鈕，軟件開始對(duì)磁盤的引導(dǎo)區(qū)進(jìn)行分析處理。如果用戶使用的是雙硬盤的話，那么首先在磁盤列表中選擇引導(dǎo)區(qū)所在的硬盤，然后再點(diǎn)擊“檢測(cè)”按鈕對(duì)引導(dǎo)區(qū)進(jìn)行檢查。

當(dāng)引導(dǎo)區(qū)檢測(cè)完成后，PowerTool會(huì)給出一個(gè)詳細(xì)的報(bào)告，并且用不同的顏色表示出安全狀況（圖6）。比如引導(dǎo)區(qū)已經(jīng)被病毒進(jìn)行破壞，那么就會(huì)用紅色顯示出“檢測(cè)到惡意代碼（MBR Rootkit）”這樣的提示。接著點(diǎn)擊窗口下方的“自動(dòng)修復(fù)MBR”按鈕，這時(shí)軟件會(huì)彈出一個(gè)提示窗口，點(diǎn)擊“是”按鈕就開始進(jìn)行引導(dǎo)區(qū)的恢復(fù)，同時(shí)也就是進(jìn)行引導(dǎo)區(qū)病毒的清除了。

恢復(fù)被鎖定的注冊(cè)表

不少病毒對(duì)系統(tǒng)的破壞，是在注冊(cè)表中完成的。為了避免用戶對(duì)篡改內(nèi)容的修復(fù)，有些病毒會(huì)對(duì)注冊(cè)表進(jìn)行鎖定，造成我們無(wú)法編輯注冊(cè)表。

大部分所謂的對(duì)注冊(cè)表的鎖定，就是禁止用戶使用Regedit編輯器。不過(guò)網(wǎng)上有很多第三方的注冊(cè)表編輯器，其實(shí)PowerTool中也有類似的編輯器功能。

在PowerTool中切換到“注冊(cè)表”標(biāo)簽，在“重要的注冊(cè)表項(xiàng)”里面輸入HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Policies＼System，再點(diǎn)擊“快速跳轉(zhuǎn)”按鈕就可以找到鎖定注冊(cè)表的位置。

然后在右側(cè)窗口里面找到DisableRegistryTools項(xiàng)，點(diǎn)擊鼠標(biāo)右鍵選擇“刪除”命令后重新啟動(dòng)系統(tǒng)。這樣就可以重新使用系統(tǒng)的Regedit編輯器進(jìn)行操作了。

小提示

★由于PowerTool這類的軟件需要滲入到系統(tǒng)的底層，所以在運(yùn)行的時(shí)候會(huì)加載一些驅(qū)動(dòng)文件，因此建議大家不要將文件解壓到含有中文信息的文件夾中運(yùn)行。另外在運(yùn)行該軟件之前，最好重新啟動(dòng)一次系統(tǒng)，這樣可以更好地使用該軟件的功能（圖3）。還有需要注意的是，一定要選擇和系統(tǒng)對(duì)應(yīng)的版本，比如32位的系統(tǒng)就運(yùn)行32位的版本。如果不注意以上幾點(diǎn)的話，那么在軟件運(yùn)行后很可能出現(xiàn)藍(lán)屏的情況。

★很多病毒在進(jìn)行映像劫持后，被劫持的軟件進(jìn)程會(huì)自動(dòng)跳轉(zhuǎn)到病毒文件。而我們通過(guò)右鍵菜單中的“修復(fù)以及刪除關(guān)聯(lián)文件”命令，就可以在操作的同時(shí)將病毒文件也刪除掉。