引言： 提起反病毒，大家都會(huì)想到各種殺毒軟件。殺軟的確是保衛(wèi)系統(tǒng)安全的利器，不過(guò)，在很多人印象中，只要裝上了殺軟，并及時(shí)更新病毒庫(kù)，就萬(wàn)事大吉了，再也不用擔(dān)心病毒木馬等惡意程序的侵?jǐn)_了。這種觀點(diǎn)存在一定的誤區(qū)。因?yàn)椴《炯夹g(shù)實(shí)際上是領(lǐng)先于殺軟的，往往是出現(xiàn)了新病毒后，殺軟才通過(guò)提取特征碼等手段，將其納入查殺范圍。。如果一種新型的病毒（包括免殺型病毒）來(lái)襲的話，殺軟未必能夠攔截清除。

提起反病毒，大家都會(huì)想到各種殺毒軟件。殺軟的確是保衛(wèi)系統(tǒng)安全的利器，不過(guò)，在很多人印象中，只要裝上了殺軟，并及時(shí)更新病毒庫(kù)，就萬(wàn)事大吉了，再也不用擔(dān)心病毒木馬等惡意程序的侵?jǐn)_了。這種觀點(diǎn)存在一定的誤區(qū)，因?yàn)椴《炯夹g(shù)實(shí)際上是領(lǐng)先于殺軟的，往往是出現(xiàn)了新病毒后，殺軟才通過(guò)提取特征碼等手段，將其納入查殺范圍。如果一種新型的病毒（包括免殺型病毒）來(lái)襲的話，殺軟未必能夠攔截清除。甚至?xí)霈F(xiàn)殺軟對(duì)該病毒視而不見(jiàn)，任其自由“活動(dòng)”的尷尬。其實(shí)，很多殺軟已經(jīng)對(duì)此已經(jīng)提供了防御之道，通過(guò)創(chuàng)建系統(tǒng)分析報(bào)告等技術(shù)，來(lái)發(fā)現(xiàn)深度隱藏的病毒木馬。例如，卡巴斯基提供的創(chuàng)建系統(tǒng)狀態(tài)報(bào)告，

圖1 創(chuàng)建系統(tǒng)報(bào)告

NOD32提供的SysInspector等技術(shù)，就可以讓未知病毒露出馬腳。這里，我們以常用的卡巴斯基2014為例，來(lái)說(shuō)明如何通過(guò)其內(nèi)置的AVZ腳本，來(lái)清除未知病毒。

本例就以清除某病毒為例進(jìn)行說(shuō)明，單位的一臺(tái)電腦最近出現(xiàn)運(yùn)行異常的現(xiàn)象，懷疑是有病毒木馬等惡意程序侵入。但是，使用卡巴斯基2014進(jìn)行掃描，卻沒(méi)有發(fā)現(xiàn)病毒的行蹤。看來(lái)。要么是新型病毒，要么是該病毒針對(duì)卡巴斯基進(jìn)行了免殺處理。在系統(tǒng)托盤(pán)中的卡巴斯基2014圖標(biāo)右鍵菜單上點(diǎn)擊“設(shè)置”項(xiàng)，在設(shè)置窗口底部點(diǎn)擊“技術(shù)支持”鏈接，在彈出窗口中點(diǎn)擊“支持工具”按鈕，之后點(diǎn)擊“創(chuàng)建系統(tǒng)狀態(tài)報(bào)告”鏈接（如圖1），卡巴斯基即開(kāi)始分析系統(tǒng)數(shù)據(jù)，收集相關(guān)數(shù)據(jù)，對(duì)進(jìn)程，加載的模塊，系統(tǒng)服務(wù)，驅(qū)動(dòng)，自運(yùn)行程序等對(duì)象進(jìn)行分析統(tǒng)計(jì)。

完成后點(diǎn)擊“顯示已收集的系統(tǒng)信息”按鈕，會(huì)自動(dòng)打開(kāi)“C:Document sand SettingsAll UsersApplication DataKaspersky LabAVP14.0.0AVZ”文件夾，在其中看到以“sysinfo.zip”文件，其中包含具體的分析數(shù)據(jù)。注意，該壓縮包受到卡巴斯基的保護(hù)，是無(wú)法直接解壓的。可以將其復(fù)制到別的位置，進(jìn)行解壓處理。解壓后得到“avz_sysinfo.htm”和“avz_sysinfo.xml”兩個(gè)文件。雙擊“avz_sysinfo.htm”文件，在瀏覽器中就可以查看分析報(bào)告的內(nèi)容了。

可以查看關(guān)于進(jìn)程，已經(jīng)加載的模塊，內(nèi)核空間模塊，服務(wù)，驅(qū)動(dòng)程序，自動(dòng)運(yùn)行程序，Microsoft Internet Explorr擴(kuò)展模塊，資源管理器擴(kuò)展模塊，打印系統(tǒng)擴(kuò)展，計(jì)劃任務(wù)，SPI/LSP設(shè) 置，TCP/UDP端口，Downloaded Program Files，控制面板程序，HOSTS文件，協(xié)議和管理者，共享資源，可能感染的對(duì)象，主要分析腳本等涉及系統(tǒng)方方面面的統(tǒng)計(jì)信息。

圖2 查閱進(jìn)程報(bào)告信息

為了便于觀察，卡巴斯基會(huì)使用不同的色彩來(lái)標(biāo)識(shí)相關(guān)信息的危險(xiǎn)等級(jí)。例如，綠色的項(xiàng)目表示合法的系統(tǒng)信息，黃色的項(xiàng)目表示第三方的信息，紅色的項(xiàng)目標(biāo)識(shí)可能對(duì)系統(tǒng)安全造成威脅的對(duì)象。對(duì)于紅色的項(xiàng)目，我們需要特別注意，尤其是與其對(duì)應(yīng)的表格中沒(méi)有版權(quán)，銷(xiāo)售商，描述信息等數(shù)據(jù)，就說(shuō)明該紅色項(xiàng)目極具危險(xiǎn)性。在每一行信息的下方，都有一個(gè)腳本操作區(qū)，包括隔離，刪除，BC刪除，終止等鏈接。例如，在進(jìn)程列表中就發(fā)現(xiàn)兩個(gè)名為“winreport.exe”和“config32.exe”的進(jìn)程可疑，兩者都沒(méi)有具體的描述信息。在上述進(jìn)程的底部分別點(diǎn)擊“中止”，“刪除”和“BC刪除”鏈接，將上述進(jìn)程中止并刪除與之關(guān)聯(lián)的程序?！癇C”為“BootCleaner”，即在重新啟動(dòng)電腦進(jìn)入系統(tǒng)之前將可疑文件刪除之意。對(duì)于加載到內(nèi)存又頑固不化的家伙（例如DLL木馬等），只能使用該方式進(jìn)行刪除。

在報(bào)告的第二部分“內(nèi)核模塊”欄中發(fā)現(xiàn)了一個(gè)名為“zojsopr.dll”的模塊很可疑，在其描述和版權(quán)信息欄為空白，估計(jì)是一個(gè)免殺的木馬文件，點(diǎn)擊其下方的“刪除”鏈接，試圖刪除該文件，但是卻無(wú)法正常刪除。為此，可以點(diǎn)擊“BC刪除”鏈接，將其發(fā)送到刪除列表中。在查看“驅(qū)動(dòng)程序”信息時(shí)，發(fā)現(xiàn)名為“devlview.sys”的驅(qū)動(dòng)文件形跡可疑，應(yīng)該是木馬用來(lái)隱藏服務(wù)端程序所用，同樣點(diǎn)擊“BC刪除”連接將其發(fā)送到刪除列表中。找到并清除了可疑的程序后，在報(bào)告底部的“腳本命令”欄中顯示我們?cè)O(shè)計(jì)的清除腳本：

接下來(lái)繼續(xù)分析系統(tǒng)報(bào)告，發(fā)現(xiàn)了用來(lái)啟動(dòng)該木馬的服務(wù)項(xiàng)目，病毒服務(wù)的名稱為“Syssndrv”。另外Hosts文件也被修改了。但若干，在具體的清理過(guò)程中，需要您過(guò)仔細(xì)檢查系統(tǒng)報(bào)告的各個(gè)部分，將發(fā)現(xiàn)的可疑文件全部刪除。例如，病毒文件“Ald2790.dll”插入到了進(jìn)程“explorer.exe”中，就是通過(guò)對(duì)注冊(cè)表中的“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks”分支下創(chuàng)建非法鍵值名來(lái)實(shí)現(xiàn)的。

在系統(tǒng)報(bào)告中只需在對(duì)應(yīng)文件或者啟動(dòng)項(xiàng)位置點(diǎn)擊刪除鏈接，就可以將其清除。利用最后在上述腳本欄尾部有添加了“ExecuteSysClean;”，“BC_Active;”，“RebootWindows(true);”等語(yǔ)句，分別表示刪除所有和病毒關(guān)聯(lián)的啟動(dòng)項(xiàng)，激活BootCleaner并立即重啟系統(tǒng)，最終的腳本為：

返回技術(shù)支持窗口，點(diǎn)擊“運(yùn)行腳本”鏈接，在腳本窗口中輸入上述代碼，之后點(diǎn)擊“執(zhí)行”按鈕，系統(tǒng)就會(huì)自動(dòng)重啟，在下次進(jìn)行系統(tǒng)之前，卡巴斯基就會(huì)執(zhí)行該腳本，來(lái)清除木馬程序了。當(dāng)病毒清除完畢后，在打開(kāi)系統(tǒng)路徑下的“HOSTS”文件，將其中雜亂的地址信息刪除恢復(fù)其原貌即可。