郭建偉

當(dāng)病毒侵入系統(tǒng)后，絕不會老老實實地藏在某個角落睡大覺，而是“琢磨”著如何渾水摸魚獲得運行權(quán)，達到其為非作歹的目的。幾乎所有的病毒都會將自身藏匿到各種啟動項中，這樣當(dāng)系統(tǒng)啟動后，病毒就可以堂而皇之的運行了。不過，病毒的這些常規(guī)的啟動模式，已經(jīng)為大家所了解，為了擺脫追捕，越來越多新型病毒逐漸“摒棄”常規(guī)的啟動方式，而是采取了非常規(guī)的更加隱蔽的啟動方式，對系統(tǒng)進行更加陰險的侵襲。如何才能識破病毒的伎倆，讓其成為過街老鼠無處藏身呢？本文就從多個方面對其進行了分析講解，希望在與病毒的實際斗爭中助您一臂之力，及時截斷病毒啟動的通道，使其無法繼續(xù)危害您的系統(tǒng)。

1.在系統(tǒng)內(nèi)核啟動前加載病毒程序

有些病毒會在系統(tǒng)內(nèi)核啟動前就能加載運行，例如當(dāng)Windows出現(xiàn)嚴重錯誤導(dǎo)致藍屏?xí)r，按Reset鍵重新啟動電腦，在系統(tǒng)還未進入正常運行前，就激活了病毒程序，對系統(tǒng)進行破壞。其自動加載原理是在注冊表的“HKEY_LOCAL_MACHINE＼SYSTEM＼CurrentControlSet＼Control＼Session Manager”下的“BootExellte”鍵值名中寫入病毒程序路徑程序。當(dāng)然，可以在其后跟隨更多的程序項。當(dāng)然，這些病毒程序都經(jīng)過特殊編程，在Windows的CMD窗口中是無法運行的。對付這類病毒，只要進入上述注冊表路徑，將“BootExecute”鍵值名中的病毒程序清空，并據(jù)此刪除病毒程序即可。

2.謹防病毒綁架任務(wù)管理器

對進程進行管理，離不開任務(wù)管理器。和任務(wù)管理器對應(yīng)的程序為“taskmgr.exe”，位于“c：＼Windows＼system32”，“C：＼Windows＼SvsWOW64”等系統(tǒng)文件夾中。當(dāng)病毒采取偷梁換柱的方法，對其進行了替換后，只要用戶按下“Ctrl+Ah+Delete”鍵，就會自動激活病毒。例如，當(dāng)病毒潛入系統(tǒng)后，將自身復(fù)制到了“C：＼Windows”路徑下，先將原系統(tǒng)文件夾中的“taskmgr.exe”進行更名處理（例如將其改名為“taskmgr0.exe”），之后釋放出真正的病毒程序并命名為“taskmgr.exe”，然后執(zhí)行自刪除操作，刪除原病毒程序。當(dāng)用戶習(xí)慣性的按下“Ctrl+Alt+Delete”鍵，病毒程序就自動激活了，開始執(zhí)行預(yù)設(shè)的破壞操作，同時還會從網(wǎng)上下載運行更多的病毒木馬。其狡猾之處在于還會調(diào)用運行“taskmgr0.exe”，給人以任務(wù)管理器正常打開的假象。對于這類病毒，只需將虛假的“taskmgr.exe”刪除，并恢復(fù)正常的“taskmgr.exe”，就可以讓其失去活力。

3.利用組策略實現(xiàn)自啟動

有些病毒會躲進組策略中，實現(xiàn)自動運行。對于這類病毒，只需在“開始”→“運行”中運行“Gpedit.msc”，在組策略窗口中依次展開“本地計算機策略”→“計算機配置”→“管理模塊”→“系統(tǒng)”→“登錄”，在右側(cè)窗體雙擊“在用戶登錄時運行這些程序”，在屬性窗口中如果發(fā)現(xiàn)已經(jīng)激活了“已啟用”項，就表示有程序隱藏在其中非法運行了。點擊“顯示”按鈕，可以瀏覽所有自動運行的程序項，從中找到病毒啟動項，將其刪除即可。

4.利用系統(tǒng)服務(wù)實現(xiàn)自運行

很多病毒都喜歡將自身注冊為系統(tǒng)服務(wù)，來獲得更高的運行權(quán)限。只要系統(tǒng)啟動后，這些病毒服務(wù)就會搶先啟動。運行“services.msc”程序，在服務(wù)列表管理器中查看相關(guān)的服務(wù)項目，如果發(fā)現(xiàn)有的服務(wù)的描述信息是空白或者全英文的，內(nèi)容看起來很奇怪，則多半是病毒程序所為。雙擊相應(yīng)的服務(wù)名稱，在其屬性窗口中將其啟動方式改為手動，即可阻止其非法加載運行。

如果不太容易發(fā)現(xiàn)病毒服務(wù)名，可以在任務(wù)管理器中查找病毒程序名稱，之后運行注冊表編輯器，選中“HKEY_LOCAL_MACHINE＼SYSTEM＼CurrentControlSet＼Services”分支，點擊“Ctrl+F”鍵打開搜索窗口，根據(jù)程序名在搜尋與之關(guān)聯(lián)的主鍵后，找到之后在該主鍵右側(cè)的“ImagePath”鍵值名中顯示病毒程序的具體位置，在“Start”鍵值名中顯示啟動方式，將其設(shè)置為“3”或“4”，即可禁止其自動運行。根據(jù)得到的病毒程序路徑，就可以手工或者使用專用安全工具，將其徹底刪除。

對于有些狡猾的病毒來說，為了達到隱蔽運行的目的，會采用系Rootkit等技術(shù)，將自身創(chuàng)建為隱藏的服務(wù)，通過掛鉤系統(tǒng)本地調(diào)用實現(xiàn)自身的隱藏，通過系統(tǒng)的服務(wù)管理器是看不到這些隱藏服務(wù)的。從而實現(xiàn)在Windows啟動前悄然加載，逃避用戶查殺的目的。使用Knlsc這款小巧精悍的軟件，可以讓隱藏的服務(wù)“徹底現(xiàn)身”。Knlsc的使用方法很簡單，將壓縮包解開后，找到其中的Knlsc13.exe3C件。在CMD窗口中運行命令“knlsc13.exe-f”，就能顯示出隱藏的服務(wù)，顯示格式為“服務(wù)名服務(wù)顯示名「類型」「啟動方式」[時間戳]服務(wù)程序全路徑服務(wù)Dll全路徑（共享進程的服務(wù)才有此項）”。如果發(fā)現(xiàn)有隱藏服務(wù)（假設(shè)服務(wù)名是“Windll”），只需運行命令“knlscl3.exe

cdWindll”，即可禁用該隱藏服務(wù)。

5.利用注冊表li蔽位置自啟動

實際上，在注冊表中除了常見的啟動項位置外，還有一些地方可以實現(xiàn)隱蔽啟動預(yù)設(shè)程序的功能。如果被病毒加以利用，其危害就不言而喻了。例如病毒可以在注冊表編輯器中選擇“HKEY_CURRENT_USER＼Software＼Microsoft＼Windows NT＼CurrentVersion＼Windows”，在其下的“Load”鍵值名中存儲病毒程序路徑，這樣在系統(tǒng)啟動時，病毒就會自動運行。值得注意的是，這里的文件路徑遵循的是Dos路徑命名規(guī)則。例如從“C：＼Program files”應(yīng)寫成“C：＼Progra-1”等。

有些病毒，木馬喜歡利用ActiveX方式啟動，來避開殺軟的追捕。例如對于某款木馬來說，會同時使用ActiveX啟動和注冊表啟動項兩種啟動方式，不僅可以深度隱藏自身，插入其他合法進程，而且可以突破常用虛擬機和沙箱安全軟件。當(dāng)該木馬激活后，打開注冊表編輯器，在“HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Active Setup＼InstalledComponents”路徑，在其下有很多以GUID字符串命名的鍵值，病毒木馬就會利用ActiceX組件的身份隱藏其中，例如打開“{00000042-CC51—11cF-AAFA一00AA0086015B}”分支，在右側(cè)雙擊“StubPath”鍵值名，可以看到該病毒木馬真實的啟動路徑，本例為“C：＼WINDOWS＼svstem32＼server.exe Restart”，可以看到病毒偽裝成了“server.exe”程序。

打開注冊表編輯器，展開“HKEY—LOCAL—MACHINE＼SOFTWARE＼Microsoft＼Windows NT＼CurrentVersion＼Winlogon”分支，在窗口右側(cè)雙擊“Shell”鍵值名，查看其內(nèi)容是否為“Explorer.exe”。如果不是的話，說明病毒程序已經(jīng)替換了正常的“Explorer.exe”程序，在下次啟動時，病毒不僅會自動啟動而且會破壞了桌面和任務(wù)欄。如果在“Explorer.exe”中跟隨有其它程序，則很有可能是病毒所為，病毒通過這種加載方式，可以實現(xiàn)隱蔽啟動。在上述分支下還存在名稱為“userinit”的鍵值名，其原始內(nèi)容為“C：＼WINDOWS＼system32＼userinit.exe，”如果病毒程序添加在該命令行之后，同樣可以實現(xiàn)自動運行的目的。上述分支下的名為“l(fā)ogonui，exe”的鍵值名也應(yīng)引起注意，其原始內(nèi)容為“l(fā)ogonui.exe”，該程序主要用于控制開關(guān)機畫面，如果病毒程序?qū)ζ溥M行了替換，就可以實現(xiàn)自動激活操作，但是電腦也無法重新啟動和關(guān)閉待機，注銷賬戶也會出現(xiàn)問題。

6.警惕虛假的文件擴展名

對于常見的病毒木馬來說，其主程序都是EXE，DLL，VBS，BAT等可執(zhí)行文件。為了逃避用戶追查，有些狡猾的病毒將自身的擴展名改成別的類型，來欺騙用戶。例如，病毒會將自身更改為RAR3C件，直接雙擊該文件，自然無法啟動病毒，因為其是由EXE文件修改而來的。病毒為了欺騙用戶，會編寫一個批處理文件，將其取一個頗為迷惑人的名字（例如“補丁修復(fù).bat”文件等），在其中利用“start”命令，來啟動上述虛假的RAR文件，例如其內(nèi)容包括“@echo系統(tǒng)漏洞保護系統(tǒng)安全”“@pause”“@echo off”“start XXX.Far”“exit”等，其中的“xxx.rar”假設(shè)為病毒修改名稱后的虛假RAR文件，之后將上述兩個文件打包壓縮。

當(dāng)用戶下載該壓縮包后，直接雙擊其中的“xxx.Far”文件，自然無法打開。只要運行了其中的“補丁修復(fù)bat”文件，當(dāng)被其顯示信息所迷惑，點擊任意一下鍵盤，該腳本就會使用“start”命令運行病毒文件，之后退出批處理文件。因為已經(jīng)關(guān)閉了回顯功能，所以是能看到運行程序的信息的。病毒激活后會自動從網(wǎng)上下載更多的惡意程序，對系統(tǒng)進行進一步破壞。因為病毒修改了擴展名，偽裝成了合法的文件，并且啟動的方法很特別，才容易得手的。

其實，這種運行方法原理很簡單，例如將“x.exe”改名為“x.rar”，雙擊后自然無法運行。但是在CMD窗口中運行“x.rar”文件，卻可以順利運行該程序。另外一個角度思考，因為在Windows中存在很多文件類型，如果病毒采用這種伎倆，偽裝成其他文件類型來隱蔽啟動的話，的確對系統(tǒng)威脅很大。對付這類病毒，防御起來也不難，只要遇到看似正常的文件無法正常打開或者運行，并且有其他腳本程序與之配合的話，只要使用記事本查看其內(nèi)容，就不難發(fā)現(xiàn)其中的問題。

不過，有些病毒會采用特殊的方式，來偽造擴展名。例如某個名為“ziliaoexe.txt”的文件看起來似乎是個文本文件，其實不然，這是黑客精心設(shè)計的自解壓包，里面包含病毒程序。黑客利用了Unicode控制字符倒序排列的方法，將EXE文件后綴變成了TXT格式。其名稱實際上為“ziliaotxt.exe”，黑客執(zhí)行文件更名操作，將光標移到“jiqiao”和“txt”之間，然后在其右鍵菜單中點擊“插入Unicode控制字符”→“RLOStart of right-to-left override”項，這個EXE文件就變成了TXT格式了。而且黑客在制作該病毒自解壓包時，使用了文本圖標替換正常的自解壓文件圖標，使其看起來更像文本文件，并利用某款專用RAR文件修復(fù)補丁程序，屏蔽了其RAR右鍵菜單顯示功能。如果用戶被蒙蔽運行了該病毒自解壓包，隱藏在其中的病毒就會被激活?？磥恚坏┙邮盏娇雌饋硭坪鹾苷５奈募?，一定要提高警惕，最好不要輕易運行。應(yīng)該在虛擬機、Shadow Defender等安全環(huán)境中運行，來查看其是否具有破壞作用。