快照曝光病毒

NOD 32雖然具有強悍的掃描殺毒功能，不過病毒也不甘于束手就擒，會采取各種手段來避開NOD 32的追捕，以更加隱蔽的方式在系統中潛伏下來。

因此，僅僅依靠NOD 32的檢測功能，有可能使其漏網。為此，可以使用NOD 32提供的快照功能，讓狡猾的病毒徹底現出原形。

在NOD 32主界面中的工具界面中點擊“ESET SysInsoector”項，在彈出窗口中點擊“創建”按鈕，輸入其注釋信息，點擊“添加”按鈕，NOD 32即可對系統進行全面掃描，將記錄的信息保存在快照文件中。

有了快照，如何發現狡猾的病毒呢?方法有兩個，其一是配合NOD 32的日志功能來使用，NOD 32提供的日志內容較多，信息龐雜不理理解，為此可以在工具界面中點擊“日志文件”項，在日志窗口顯示所有的日志信息。點擊“過濾器”按鈕，在彈出窗口的“記錄類型”列表中只選擇“關鍵”項，點擊確定按鈕，來獲得真正需要關注的安全信息。在ESET SysInspector窗口中雙擊目標快照項目，對系統進行掃描檢測，在彈出窗口（如圖8所示）中顯示所有的檢測項目，包括進程、網絡連接、變動的注冊表項、驅動程序、關鍵文件等。在“過濾”欄中拖動滑塊，將其移動到中間的位置，來獲得真正有價值的檢測信息。根據在日志文件中獲得關鍵信息，在“查找”欄中輸入相關內容，在檢測信息中執行搜索操作，就可以有效的找到可疑信息，進而發現病毒文件的蹤跡。這樣就可以有得放矢將其清除了。

圖8 顯示所有檢測項目

另外一種檢測方法是執行對比操作，在系統處于正常狀態時，創建一個快照文件，在系統出現問題后再創建一個快照文件，在ESET SysInspector窗口同時選擇這兩個快照項目，點擊“比較”按鈕，對其進行深度對比分析，在報告窗口中顯示比較后的檢測信息，這樣所有的變動信息全部被統計出來，在“過濾”欄中拖動滑塊，將其移動到中間的位置，就可以過濾掉無關的信息，讓可疑的信息顯現出來，據此可以很輕松地發現病毒的蹤跡。