痛并快樂著

今天還沒有走進辦公室，就聽見里面激烈的討論聲。仔細一聽，原來大家在討論昨晚的電視節(jié)目。一個同事見我進了辦公室，馬上湊過來問：“昨晚你看電視沒有？里面講了很多泄露個人信息的電腦病毒事件。”另一個同事感嘆道：“現(xiàn)在的電腦病毒真可謂‘江山代有才人出，各領風騷數(shù)百年。前不久流行‘貓癬下載者，最近又流行‘死牛下載者……，弄得殺毒軟件都來不及查殺了。”我聽了，不解地回道：“沒這么難吧？殺毒軟件暫時殺不了的病毒，我們可以自己做一個專殺工具來殺??！”

獲得本機安全報告

此言一出，幾位同事用詫異加懷疑的眼光看著我，我哈哈大笑：“不要以為病毒專殺工具只有專業(yè)人員才做得出來，其實我們只需要利用一個制作軟件，在它上面填寫相關病毒的信息后，就可以生成針對此病毒的專殺工具了。哈哈，是不是非常簡單??？”有同事馬上問道：“這個……要填寫的病毒信息你上哪兒去找？”我答道：“這個好辦，用安全軟件System Repair Engineer（以下簡稱SREng）統(tǒng)計一個本機的安全報告就行了。”

我從網上下載了最新版本的SREng。由于它是綠色軟件，所以下載到硬盤后解壓就可以開始進行系統(tǒng)檢測了。首先點擊SREng主窗口左邊工具欄中的“智能掃描”按鈕，接著在右側窗口里選中所有的選項，包括所有的啟動項目、正在運行的進程、瀏覽器加載項和Autorun.inf等。特別強調，最好勾選“檢查進程模塊的數(shù)字簽名”選項，這樣可以非常方便地區(qū)分病毒信息和正常信息（如圖1）。然后點擊“掃描”按鈕，SREng開始對所有選項進行掃描。掃描完成以后點擊“保存報告”按鈕，將安全報告保存到一個文本文件中。

分析安全報告找病毒

當我打開這份安全報告以后，各位同事連連喊暈，因為報告中的內容實在是晦澀難懂（如圖2）。

我急忙向大家解釋：“ 大家不要暈頭，用《SREngLog分析助手》這款小軟件就能看懂了。”運行《SREngLog分析助手》，先通過“文件導入”按鈕導入安全報告的文本文件。然后點擊“讀取分析”按鈕，安全報告中的內容就分類顯示在各個標簽頁里，這樣我就可以逐項進行分析和判斷了。

這時我突然想起一件事，于是對大家說道：“我的這臺電腦昨天中了‘死牛下載者病毒，還沒徹底清除掉，所以現(xiàn)在我就做這個病毒的專殺工具吧！”在《SREngLog分析助手》的“自啟動項目”標簽頁中，我發(fā)現(xiàn)一個可疑的SafeSys.exe啟動項，并看到系統(tǒng)中幾乎所有的安全軟件都被映像劫持了（如圖3，即列表中那些標注為IFEO的項目）。一個同事問道：“SafeSys.exe這個文件看上去是非?？梢?，但怎樣才能確定它就是你所說的病毒呢？”我回道：“上網查呀！在可疑條目上點擊鼠標右鍵，選擇菜單中的‘百度搜索文件或‘Google搜索文件命令。在搜索結果中，建議先看別人寫的安全報告，確認其是否和自己安全報告中的信息一樣，然后再看其他人的回復信息等，這樣就快就查明真相了?！?/p>

接著，我切換到“其他修復”標簽頁，在“AutoRun項目”中可以看到磁盤分區(qū)根目錄里AutuRun.inf文件中的代碼信息。從這些代碼可以得知，在每個磁盤分區(qū)根目錄下都存在病毒文件SafeSys.exe和AutuRun.inf（如圖4）。我對同事說道：“有效信息不一定能夠完全分析出來，譬如病毒會破壞系統(tǒng)的安全模式，或會對局域網進行ARP攻擊等。對這些破壞行為進行修復，是我在后面編寫專殺工具時必須要考慮的。”

制作病毒專殺工具

現(xiàn)在是“萬事俱備，只欠東風”。我下載了AntiVirusEngineer（以下簡稱AVEng），它是一款專為反病毒愛好者提供的專殺工具制作軟件。普通用戶只需要修改AVEng配置文件virus.ini中的內容，就可以快速制作出專業(yè)的病毒專殺工具。由于該軟件采用了獨特的病毒清理和系統(tǒng)修復引擎，因而能夠快速準確地清理病毒并修復系統(tǒng)中常見的故障。

我用“記事本”打開配置文件virus.ini，發(fā)現(xiàn)它其實是一個INF腳本文件。其代碼分成幾個段落，分別是軟件介紹、刪除文件、注冊表刪除和系統(tǒng)修復等。由于每段代碼都有詳細的解釋，所以身邊的幾位同事也看了個八九不離十。

[INF]

Title=死牛病毒專殺工具山寨版

Name=死牛病毒專殺工具山寨版

Version=090401

Killer=我愛應用文摘

Log=FALSE

Copyright=專殺提供: 我愛應用文摘 h t t p : / / w w w .pcdigest.com/

Description=####該病毒會導致大量安全軟件運行失??；會下載大量盜號木馬到用戶計算機來盜取用戶賬號信息。@@# 本軟件適用于檢測清除死牛病毒。@@#

[/INF]

上面這段代碼用于設置專殺工具的相關信息，包括窗口標題（Title）、專殺工具名稱（Name）、專殺工具作者（Killer）、界面底部版權信息（Copyright ）等。這些信息都可以根據(jù)自己的喜好隨意填寫。

[VIR]

%Progra%Common FilesSafeSys.exe

c:SafeSys.exe

c:AutuRun.inf

d:SafeSys.exe

d:AutuRun.inf

[/VIR]

以上代碼用于設置本機中病毒文件的路徑信息，病毒專殺工具就是根據(jù)這些路徑來刪除病毒文件的（注：%Progra%代表系統(tǒng)默認的軟件安裝路徑，如C:Program Files）。

[REG]

%regdel%HKEY_LOCAL_MACHINESOFTWARE

MicrosoftWindowsCurrentVersionRunSafeSys

[/REG]

以上代碼主要是用于清理指定的注冊表項目或鍵值，其中當代碼行末以“”結束時，表示刪除該項及其子項。不過上面的這段代碼只是刪除病毒的啟動鍵SafeSys。

[COR]

IFEO=TRUE

ASSOC=FALSE

HOSTS=FALSE

WINSHELL=TRUE

[/COR]

這段代碼主要是對指定的系統(tǒng)項目進行修復操作，包括IFEO映像劫持（IFEO）、文件關聯(lián)（ASSOC）、hosts文件（HOSTS）和Windows Shell（WINSHELL）修復。其中要修復的寫TRUE，不修復的寫FALSE。所有的代碼填寫或修改完畢以后，保存退出。運行AVEng，就能生成針對“死牛下載者”病毒的專殺工具了！打開這個EXE文件格式的病毒專殺工具，點擊其“開始掃描”按鈕，即可進行病毒查殺和系統(tǒng)修復（如圖5）。不一會兒，我電腦中的“死牛下載者”病毒就清除干凈了。

同事們在看了我的操作之后，紛紛感嘆道：“沒想到殺個病毒這么簡單”、“原來我也可以當殺毒高手喲”、“太好了，我也寫一些病毒專殺工具放在自己的博客上，太有成就感了”……編后語：本文主要介紹手工制作病毒專殺工具的方法，文中涉及的病毒截止發(fā)稿之日，主流的殺毒軟件都能夠查殺了。