自制病毒專殺工具

病毒為了實(shí)現(xiàn)隱蔽入侵的目的，會(huì)采用各種手段來(lái)偽裝自己，來(lái)避開殺毒軟件的監(jiān)視。例如，病毒會(huì)采用免殺技術(shù)來(lái)欺騙殺毒軟件，進(jìn)而肆無(wú)忌憚地侵入系統(tǒng)。一般來(lái)說(shuō)，殺毒軟件對(duì)于新型病毒或者免殺病毒的防御功能是比較弱的，當(dāng)您使用各種分析軟件發(fā)現(xiàn)病毒的蹤跡后，可以針對(duì)其制作專殺工具，來(lái)彌補(bǔ)殺毒軟件的不足，將病毒木馬徹底驅(qū)逐出去。使用InCtrl5這款小工具，就可以輕松實(shí)現(xiàn)上述功能。

圖3 InCtrl5主界面

InCtrl5的特點(diǎn)是可以分析目標(biāo)程序運(yùn)行前后，對(duì)系統(tǒng)造成的所有改動(dòng)和影響，可以對(duì)注冊(cè)表、系統(tǒng)文件、驅(qū)動(dòng)器等目標(biāo)進(jìn)行監(jiān)控，將完整的系統(tǒng)變動(dòng)信息保存出來(lái)。例如，當(dāng)您從網(wǎng)上下載了一個(gè)軟件，懷疑是盜號(hào)程序，但是使用某款免費(fèi)殺毒軟件卻沒(méi)有發(fā)現(xiàn)端倪，于是就啟動(dòng)InCtrl5，在其主界面（如圖3所示）中的“安裝程序”欄中點(diǎn)擊瀏覽按鈕，選擇該可疑程序，在“報(bào)告”欄中點(diǎn)擊瀏覽按鈕，設(shè)置報(bào)告文件存儲(chǔ)路徑。在“跟蹤什么”欄中點(diǎn)擊“注冊(cè)表”按鈕，在彈出窗口中點(diǎn)擊“添加”按鈕，輸入需要監(jiān)控的路徑。當(dāng)然，也可以運(yùn)行注冊(cè)表編輯器，選中特定的分支，點(diǎn)擊“獲取鍵”按鈕來(lái)導(dǎo)入該注冊(cè)表路徑。在默認(rèn)狀態(tài)下監(jiān)控整個(gè)注冊(cè)表。點(diǎn)擊“驅(qū)動(dòng)器”按鈕，選擇需要監(jiān)控的磁盤，默認(rèn)選擇所有磁盤，一般來(lái)說(shuō)，選擇系統(tǒng)盤即可。點(diǎn)擊“INI文件”和“文本文件”按鈕，可以添加需要監(jiān)控的各種配置文件。

點(diǎn)擊“開始”按鈕，InCtrl5即可對(duì)系統(tǒng)進(jìn)行掃描，拍攝當(dāng)前系統(tǒng)快照，然后運(yùn)行目標(biāo)程序，當(dāng)該程序運(yùn)行完畢后，再次掃描系統(tǒng)，創(chuàng)建此時(shí)的系統(tǒng)快照。當(dāng)完成以上操作后，InCtrl5會(huì)顯示操作完成的提示，在掃描窗口中點(diǎn)擊“安裝完成”按鈕，稍后InCtrl5會(huì)自動(dòng)彈出分析報(bào)告窗口，點(diǎn)擊“運(yùn)行”按鈕，可以查看詳細(xì)的檢測(cè)報(bào)告。例如，在其中的“Contents”位置點(diǎn)擊“Disk Contents”鏈接，在“Files added”欄中顯示該可疑程序在系統(tǒng)中創(chuàng)建了兩個(gè)文件，在“Files delete”欄中顯示其刪除了一個(gè)文件，根據(jù)提示可以看到其刪除的是自身文件。在“Contents”位置點(diǎn)擊“Registery”鏈接，可以查看注冊(cè)表變化情況，發(fā)現(xiàn)該可疑程序在注冊(cè)表創(chuàng)建了一個(gè)啟動(dòng)項(xiàng)。同時(shí)創(chuàng)建了一個(gè)系統(tǒng)服務(wù)。根據(jù)以上信息，可以自己動(dòng)手，編輯一個(gè)批處理文件，來(lái)清除該可疑程序。