服務(wù)病毒黑客手工殺毒技術(shù).李詩(shī)平(南京信息工程大學(xué)圖書(shū)館，江蘇南京210044)摘要:該文根據(jù)計(jì)算機(jī)病毒感染的一般特性，從計(jì)算機(jī)病毒的痕跡追蹤入手，討論了Windows下和Dos下的幾種手工殺毒方法關(guān)鍵詞:計(jì)算機(jī)病毒;手工殺毒;動(dòng)態(tài);靜態(tài); DOS; WindowsTechnology of killing virus by handLi Shi-ping(Library of nanig Iniersity of iformnation science & Technobey, Nanimg 210044 P. 居。Chia)Abstract: Acording the general of virus spreading, this paper dsussed some ways of klling viruses by hand in dos and windows mode，firststep is tracing them.Key words; computer virus; kil virus by hand;active; quiet;DOS; Windows1引言等等，這些工具是手工殺毒的利器。計(jì)算機(jī)病毒的氣勢(shì)在當(dāng)下似乎已經(jīng)壓住了殺毒軟件,因?yàn)樵S多安裝了正版殺毒軟件的計(jì)算機(jī)，有時(shí)候非但殺不2計(jì)算機(jī)病毒痕跡的簡(jiǎn)易追蹤法了病毒卻反被病毒殺死;有時(shí)候，不安裝病毒的計(jì)算機(jī)運(yùn)如果計(jì)算機(jī)運(yùn)行異常緩慢，異常文件被刪除又立即產(chǎn)行正常，安裝了防火墻(病毒和安全防火墻)的卻常常伴生了，異常啟動(dòng)甚至藍(lán)屏等等，那么計(jì)算機(jī)系統(tǒng)中就有可隨著運(yùn)行緩慢和死機(jī)現(xiàn)象。這種情況使得普通用戶叫苦不能存在病毒。發(fā)現(xiàn)病毒的存在位置，是解決病毒的關(guān)鍵所迭;具備計(jì)算機(jī)知識(shí)的用戶常常重新安裝計(jì)算機(jī)系統(tǒng)。但在。是現(xiàn)在的病毒發(fā)展速度驚人，隱藏的服務(wù)(Service). 隱享譽(yù)世界的華裔刑偵專(zhuān)家李昌鈺博士相信:凡發(fā)生必藏的進(jìn)程(Process) 比比皆是,從而造成了病毒不能發(fā)現(xiàn)，留下痕跡，證據(jù)總有說(shuō)話的一- 天。計(jì)算機(jī)病毒也是如此，正版殺毒軟件也不能除去等等。遇到這種情況，許多用戶總會(huì)留下痕跡。.往往選擇重新安裝。重新安裝，對(duì)于不怎么重要的個(gè)人計(jì)2.1查看計(jì)算機(jī)運(yùn)行程序和進(jìn)程發(fā)現(xiàn)病毒算機(jī)是可以的，但是對(duì)于重要的計(jì)算機(jī)，包括重要的辦公查找計(jì)算機(jī)病毒首先要用Windows自帶的任務(wù)管理機(jī)、監(jiān)控機(jī)以及服務(wù)器等就不適用了。有識(shí)之士認(rèn)為，手器，它提供正在您的計(jì)算機(jī)上運(yùn)行的程序和進(jìn)程的相關(guān)信工殺毒是未來(lái)必備的基本技術(shù)，手工殺毒也必將成為計(jì)算息。如果發(fā)現(xiàn)有異常進(jìn)程,就必領(lǐng)知道進(jìn)程的用途。對(duì)于簡(jiǎn)單的病毒，鼠標(biāo)右鍵點(diǎn)擊就能終止。如果沒(méi)有發(fā)現(xiàn)異常機(jī)的基礎(chǔ)教育之一。手工殺毒，就是計(jì)算機(jī)工作人員運(yùn)用操作系統(tǒng)的基本進(jìn)程，但是System Idle Process 條目的CPU占用是95思想，用一些工具軟件排除病毒和惡意插件?？梢钥隙ǎ韵?，甚至是零，就需要知道占用時(shí)間長(zhǎng)的那個(gè)進(jìn)程。其工具軟件是非常重要的，與現(xiàn)實(shí)生產(chǎn)關(guān)系中的性質(zhì)一樣，次,用Msconfig查看啟動(dòng)項(xiàng)目,看看有哪些啟動(dòng)是異常的。它是決定性環(huán)節(jié)。手工殺毒者，必要具備- -些基礎(chǔ)知識(shí)，ProcessExplorer是手工殺毒者推崇的一款軟件,它尤其是操作系統(tǒng)的理論，這樣才能更好地使用工具排除病能輕易地顯示任務(wù)管理器無(wú)法偵查的病毒線程或隱藏毒。用于殺毒的工具軟件越來(lái)越多，這也是伴隨著病毒的進(jìn)程，它還能查出系統(tǒng)中進(jìn)程(包括system進(jìn)程)使發(fā)展而發(fā)展的。這些工具包括SSM、超級(jí)兔子、瑞星卡用計(jì)算機(jī)資源的狀況。對(duì)于--些惡意網(wǎng)站如piaoxue、卡，gmer,冰刃、unlocker, knlsc. ProcessExplorer.hao中國(guó)煤化工ocessExplorer用戶就ListDIls. RegMon, filemon, Sreng. ac (attribution可以HC N M H G都是啟動(dòng)某個(gè)或多個(gè)服change)以及帶有NTFSPRO、ghost的DOS啟動(dòng)光盤(pán)務(wù)導(dǎo)致的。在ProcessExplorer的窗口下，鼠標(biāo)右鍵點(diǎn)擊6計(jì)明機(jī)字象據(jù)007.12www.nsc.org.cn病毒黑客服務(wù)system進(jìn)程，選擇properties,選擇threads就能夠發(fā)現(xiàn)壞軟件)，mal前綴是非常貼切的。手工殺毒主要強(qiáng)調(diào)在存在名字怪異且非?；钴S的線程，這些就是我們要排除的瑞星、金山毒霸等軟件無(wú)法正常防護(hù)的情況下，用戶能憑目標(biāo)?！笆止⒍尽钡募夹g(shù),維護(hù)計(jì)算機(jī)正常運(yùn)行。在手工殺毒時(shí)，然而，也存在一一些服務(wù)，它不是活躍的，由其他的殺毒軟件必須安裝，因?yàn)樗鸨Ｗo(hù)作用，起掃蕩作用。手進(jìn)程或線程帶動(dòng)的，ProcessExplorer 就不能立即捕捉到，工殺毒的對(duì)象是新的頑固的病毒。就需要另外- 款工具Sreng (系統(tǒng)修復(fù)工程師)來(lái)完成。3.1手工殺毒的思路如果說(shuō)ProcessExploer是實(shí)時(shí)性監(jiān)視體現(xiàn)其功能的話，注冊(cè)表是Windows操作系統(tǒng)協(xié)調(diào)各個(gè)任務(wù)的紐帶。Sreng則是“以靜制動(dòng)”的。Sreng是以一種全面掃描的有個(gè)別用戶認(rèn)為，如果熟悉了注冊(cè)表就可以解決問(wèn)題了，方式，可以看到不屬于系統(tǒng)進(jìn)程的異常進(jìn)程或線程;對(duì)于原因是惡意軟件就是以修改注冊(cè)來(lái)表達(dá)到目的。這是-一種開(kāi)始裝載的不隸屬于系統(tǒng)的服務(wù)也能立即顯示出來(lái)?；孟?，因?yàn)樽?cè)表的鍵(包括系統(tǒng)的)太多，其作用不可2.2尋找插件病毒能--窮盡:不同任務(wù)有不同的鍵，新的程序會(huì)在注冊(cè)表插件是為了方便人們使用而設(shè)計(jì)的，但是卻像“潘多產(chǎn)生新的鍵，同一個(gè)鍵可能涉及到多個(gè)任務(wù)，多個(gè)鍵同一拉盒子”被打開(kāi)一樣，成了病毒設(shè)計(jì)者很好的武器，而且個(gè)任務(wù)也是非常普遍的?？傊ㄟ^(guò)熟悉注冊(cè)表來(lái)達(dá)到殺這種武器是自由的，種類(lèi)數(shù)不勝數(shù)-給查詢(xún)帶來(lái)了許多的毒目的不一定取得好的效果。麻煩。了解系統(tǒng)的調(diào)度過(guò)程,當(dāng)然是必要的。因?yàn)橹挥羞@樣，有時(shí)候計(jì)算機(jī)很慢，但是任務(wù)管理器、才能知道導(dǎo)致系統(tǒng)異常環(huán) 節(jié)在什么時(shí)間發(fā)生的，在何處發(fā)ProcessExplorer等軟件卻發(fā)現(xiàn)不了異常;有時(shí)候某個(gè)文生的，可能由哪些模塊引起。件刪除了，但過(guò)會(huì)兒又出現(xiàn)了，但工具軟件又顯示不出。手工殺毒，整體上需要有一種“無(wú)為”思想。不管病這種情況可能由插件引起的，而且大部分是惡意插件。現(xiàn)毒是如何猖獗，只要用戶以自身的不變應(yīng)病毒的萬(wàn)變，以在有許多工具都帶有安全助手，如超級(jí)兔子、瑞星卡卡、堅(jiān)韌的精神，追查病毒的痕跡，找出最后的頑兇，因?yàn)椋琒reng等等，可以幫助用戶查找插件。盡管這些助手不能凡發(fā)生必留下痕跡，切不可“知難而退”，重裝操作系統(tǒng)。發(fā)現(xiàn)全部，但用戶可以通過(guò)各個(gè)助手的交叉工作，來(lái)彌補(bǔ)手工殺毒還需要有策略，就是先外圍后內(nèi)部，先易后難，它們各自的不足。先解決影響大的后清除影響小的。2.3利用軟件發(fā)現(xiàn)異常用戶無(wú)需知道惡意軟件干了哪些“壞事”， 因?yàn)樵谧芬噪[藏服務(wù)形式出現(xiàn)的病毒，常常需要用Knlsc 工具查痕跡的過(guò)程中，它們的劣跡自然會(huì)一一彰顯出來(lái);更無(wú)軟件。需知道它們是什么病毒類(lèi)型，因?yàn)椴《緞澐謽?biāo)準(zhǔn)不同，類(lèi)有幾個(gè)軟件: Filemon, Regmon, ListDlls, .型也不同。手工殺毒關(guān)注的病毒只有靜態(tài)和動(dòng)態(tài)兩種類(lèi)型。eXeScop,雖然很小，但是其功能卻不可忽視。Filemon3.2清除病毒是監(jiān)控文件操作的，包括刪除、創(chuàng)建、讀寫(xiě)等以及文件病毒，有兩個(gè)顯著特征:自我復(fù)制，在邏輯上構(gòu)成閉操作由哪個(gè)進(jìn)程發(fā)出的。Remon 是能夠監(jiān)控到注冊(cè)表讀環(huán);病毒只有進(jìn)入系統(tǒng)才能有作為，這是其發(fā)作的根本途寫(xiě)情況，什么時(shí)間由什么進(jìn)程修改的什么注冊(cè)表鍵，都徑。病毒以復(fù)制自身為其生命的首要任務(wù)，而所謂的破壞能--顯示出來(lái)， 如添加服務(wù)等。Regmon之所以如此重亦或造成系統(tǒng)的癱瘓、異常的緩慢，實(shí)是病毒設(shè)計(jì)中比較要，是因?yàn)橛?jì)算機(jī)的任何行為都是圍繞著注冊(cè)表進(jìn)行的。次要的部分。殺毒第一步就是阻止它們進(jìn)入系統(tǒng)，構(gòu)成閉ListDIls 能夠顯示出內(nèi)存中某個(gè)DLL被哪個(gè)進(jìn)程調(diào)用的。環(huán)生命鏈條的病毒，肯定不會(huì)輕易讓“阻止”成功的。需eXeScope能夠知道某個(gè)dlexe.sys文件調(diào)用了哪些進(jìn)程。要再次強(qiáng)調(diào)的，在實(shí)戰(zhàn)中，用戶無(wú)需知道病毒的“原理” ,ac,是文件屬性修改器，無(wú)論什么文件作什么限制，只需按“痕跡”解決問(wèn)題。ac都能輕松改變，是真的attribution change.3.2.1不能修改注冊(cè)表中國(guó)煤化工如某某應(yīng)用不能運(yùn)3手工殺毒方法行，無(wú)JIYHC N M H GisableTaskMgEr)、計(jì)算機(jī)病毒(包括惡意插件) ,都是malware (英文名，隱藏文件不能顯示(nchidden)等等，基本都是通過(guò)修2007.12。計(jì)算機(jī)安全[87www.nsc.org.cn服務(wù)病毒黑客勇改鍵值來(lái)達(dá)到目的。但是用戶要修改注冊(cè)表鍵值，往往因害是用戶不知道文件夾而執(zhí)行了病毒體。這種病毒行為為病毒感染不能運(yùn)行相關(guān)的軟件。本不值得奇怪，可是也不知道病毒設(shè)計(jì)者有意還是無(wú)意注冊(cè)表，兵家必爭(zhēng)之地，歷來(lái)是病毒設(shè)計(jì)者關(guān)注的的一-反 正Program files 文件夾里的explorer文件夾目地方。病毒總是在注冊(cè)表中尋找改動(dòng)小影響大的鍵，如錄變成了執(zhí)行文件explorer .exe,名稱(chēng)和windows下的exefile, AppInit. _DLLs等。許多exe文件不能執(zhí)行，explorer .exe - -樣，從而造成系統(tǒng)調(diào)用了兩個(gè)explorer.com文件可以執(zhí)行，就是exefile被改動(dòng)了。此時(shí)要把exe,普通用戶實(shí)在招架不住。這類(lèi)病毒，因?yàn)檎甲×讼祌egedit. exe改成regedit.com運(yùn)行，或者用- -些專(zhuān)用工統(tǒng)進(jìn)程的位置，亦或像soundmix一樣和系統(tǒng)進(jìn)程捆在一具修改為它的默認(rèn)值。起，因而一直處于活躍狀態(tài)。對(duì)這種‘強(qiáng)勢(shì)’ 病毒，用戶許多病毒會(huì)修改applications鍵，亦或修改Image在ProcessExplorer里，選中，直接用Del鍵就能終止它File Execution Options (應(yīng)用程序劫持項(xiàng))，導(dǎo)致執(zhí)行們。如果刪除不掉，說(shuō)明還有幕后推手在維持著它的生命。文件源頭指向改變。曾經(jīng)有一個(gè)文件名為mshta. exe的點(diǎn)擊processexplorer的find,出現(xiàn)了-一個(gè)可以尋找幕后病毒，把這里的大部分應(yīng)用都修改了，explorer .exe,者的窗口，鍵入不能刪除的文件名稱(chēng)，點(diǎn)擊search,就可winword.exe等等。Regedit .exe不能執(zhí)行也許在這里出以知道擁有此文件控制權(quán)的進(jìn)程。終止父進(jìn)程或關(guān)閉句柄了問(wèn)題。只需把regedit. exe文件名稱(chēng)改成其他的就可以(close handle),繼續(xù)前面的步驟，直到刪除為止。了。3.2.3靜態(tài)病毒的刪除有時(shí)候注冊(cè)表被禁用，用戶不能修改，也許是因?yàn)殪o態(tài)病毒危害性比較大。它們的主要特征不在于本身DisableRegistryTools鍵被修改了，用超級(jí)兔子等工具直獲得最高權(quán)限導(dǎo)致用戶不能刪除它們，而是埋伏在系統(tǒng)運(yùn)接修復(fù)就可以。行的某個(gè)環(huán)節(jié)處，只要系統(tǒng)的某個(gè)進(jìn)程啟動(dòng)，病毒就會(huì)被3.2.2動(dòng)態(tài)病毒的去除啟動(dòng)以便完成它們的“任務(wù)”。所謂動(dòng)態(tài)病毒，就是一直監(jiān)控著某種行動(dòng)，在系統(tǒng)一Autorun病毒就屬于靜態(tài)病毒，十分流行的sXS. exe,直處于活躍狀態(tài)的病毒，它常常以獲取系統(tǒng)的控制權(quán)達(dá)到就是如此。它利用了用戶喜歡雙擊鼠標(biāo)的習(xí)慣，引發(fā)了目的。因?yàn)榛钴S，所以在空閑時(shí)CPU也被占用，因而通病毒。這種病毒用任何管理很容易就能終止，在硬盤(pán)上過(guò)工具軟件也很容易發(fā)現(xiàn)它們。也能容易刪除，可是一會(huì)兒又出現(xiàn)了。這是因?yàn)?一個(gè)硬盤(pán)Arp病毒，一款典型的動(dòng)態(tài)病毒，利用網(wǎng)絡(luò)的漏洞，體，一般被劃分為多個(gè)邏輯盤(pán)，用戶在同-時(shí)刻不可能刪不停地攻擊局域網(wǎng)的計(jì)算機(jī)。因?yàn)樗煌５貟呙?，用Arp除所有邏輯盤(pán)上的病毒文件，有一個(gè)被激活，那么所有盤(pán)-a命令就能發(fā)現(xiàn)它所在的計(jì)算機(jī)。用任務(wù) 管理器查看,體都被復(fù)制病毒了。這種病毒如今也發(fā)展了，修改了各個(gè)發(fā)現(xiàn)異常進(jìn)程nslookupi.exe,鼠標(biāo)右點(diǎn)此進(jìn)程，然后盤(pán)符的默認(rèn)打開(kāi)設(shè)定，只要瀏覽某盤(pán)，那么病毒的副本就選擇終止(不能終止用其他工具)就可以了。不能忘記會(huì)復(fù)制過(guò)來(lái)。對(duì)于任何盤(pán)符打不開(kāi),或鼠標(biāo)右擊盤(pán)符出現(xiàn)nslookupi,還有幫兇: wincap.ll, wpcap. dll, packet.auto選項(xiàng)(也包括沒(méi)有出現(xiàn)auto項(xiàng)，選擇open項(xiàng)很慢)dlI, wanpacket.dll等， 此時(shí)要- -并清除，- -般都是在的，都是一種類(lèi)型，只需修改注冊(cè)表中的mountpoint鍵，windows或windows\system32文件夾里;同時(shí)，還需把所有盤(pán)的+子項(xiàng)去除，然后清除病毒本體即可。.用msconfig (有時(shí)必須用其他工具)去除相關(guān)的啟動(dòng)項(xiàng)目。瀏覽器插件，apihook 等也是一-種靜態(tài)病毒。 這類(lèi)病惡意網(wǎng)站，如www . piaoxue . com,也是很典型的動(dòng)毒用超級(jí)兔子或Sreng，可以輕易地去除，因?yàn)樗鼈儾皇菓B(tài)病毒。用processexplorer查看進(jìn)程,展開(kāi)system進(jìn)程項(xiàng)，以強(qiáng)勢(shì)取得控制權(quán)見(jiàn)長(zhǎng)，而是以功能體現(xiàn)特性的。有時(shí)候發(fā)現(xiàn)system進(jìn)程還有cpu占用。此時(shí),右擊system進(jìn)程，這類(lèi)病毒，在安全模式下，用一個(gè)零字節(jié)的相同的文件來(lái)選properties,選擇threads,會(huì)發(fā)現(xiàn)- 一個(gè)或多個(gè)名字怪代替，病毒發(fā)展的鏈條也就因?yàn)椴《疚募](méi)有“內(nèi)容”就異的活躍線程，即是病毒體。到安全模式下刪除病毒體即這樣斷裂了，加此。潔除病毒的其他環(huán)節(jié)就容易多了。中國(guó)煤化工可。3.2有一種病毒，把所有文件夾都變成了執(zhí)行文件，把原TYHCNMH統(tǒng)行的。這類(lèi)病毒，用來(lái)的文件變成隱藏的系統(tǒng)的文件夾。這種障眼法最大的危msconfig可以看到啟動(dòng)項(xiàng)目異常，但是怎么也修改不了,88計(jì)算機(jī)競(jìng)數(shù)據(jù)07.12www.nsGcc.org.cn病毒黑客服務(wù)因?yàn)橛泻笈_(tái)服務(wù)程序維持著其生命。把文件變成普通的文件:如果不知道隱藏文件的名稱(chēng)，可惡意網(wǎng)站www. haol23.net, bbs.51. vip. net等以dir /h命令查看。盡量地用ren命令修改名稱(chēng)，如果就是這類(lèi)病毒的典型。hao123惡意插件，如果用工具軟確定是病毒體才可用del命令刪除病毒。件進(jìn)行IE修復(fù)是可以的，也可以正常運(yùn)行，即用IE時(shí)有時(shí)候碰到NTFS格式卻沒(méi)有ntfspro軟件，或者因hao123脫鉤，但是重新啟動(dòng)后又出現(xiàn)了，這是因?yàn)槟粸樘厥馇闆r不能看到系統(tǒng)盤(pán)，那么用ghost克隆- -個(gè)盤(pán)映后還存在推手。用ProcessExplorer可以查出system進(jìn)像文件。回到windows下，用ghost Explorer 可以對(duì)映程中存在異常線程:yqjpq、ylkhli, yasght. wvpscy像文件進(jìn)行任意的操作，刪除映像中病毒文件就如刪除一等，如果用ProcessExplorer掛起這些進(jìn)程，在系統(tǒng)啟個(gè)字符那樣容易。清除病毒后，再克隆回去，這樣系統(tǒng)中動(dòng)項(xiàng)目上卻不能讓它們脫鉤。hao123的形式是www.就不會(huì)有病毒了。ha0123. net/ ?a0X,其中x不同，維持的進(jìn)程名稱(chēng)也不- -樣。前述的是a09。如果是a05,維持的進(jìn)程名稱(chēng)就4結(jié)語(yǔ)不-樣了，其中. dll, . sys成對(duì)的進(jìn)程名稱(chēng)有uzpoqy,許多用戶有這樣的疑問(wèn):能不能買(mǎi)- -個(gè)軟件， 殺死所pzznyh, mxnaii, koocvx, eimfkm, dtylfu, 不成對(duì)的有的病毒?退一步，能否保證系統(tǒng)不死機(jī)?其實(shí)，不可能是wkadoees. dll和ihdu5 .sys。bbs. 51.vip.net工具軟件有“一- -勞永逸"的殺毒軟件。殺毒軟件只是對(duì)已經(jīng)出現(xiàn)的、IE修復(fù)干脆不行，其幕后有csa5vi. s7rjng. eqv4s6 等文并已經(jīng)掌握的病毒有作用。病毒和殺毒是相互交錯(cuò)的，彼件支持。有時(shí)候這類(lèi)病毒沒(méi)有任何跡象，如pvsec, CPU此在斗爭(zhēng)中發(fā)展的。殺毒軟件不可能清除所有的尤其是新占用正常，計(jì)算機(jī)運(yùn)行就是慢。Pvsec由前臺(tái)pvsec .dll的病毒，因?yàn)樗恢佬虏《镜纳硖卣鳌⑸湕l;但.和后臺(tái)服務(wù)parcls.sys組成。是殺毒軟件隨著對(duì)新病毒的了解，會(huì)推出新的版本，甚至混合型病毒是非常牢固的組合，即使在安全模式下也會(huì)改變殺毒軟件的結(jié)構(gòu)，因?yàn)槔系谋O(jiān)控模式可能在新病毒是如此。后者保證前者成為系統(tǒng)的啟動(dòng)項(xiàng)目;一旦系統(tǒng)啟面前失效了。動(dòng)，前者又會(huì)保證后者以服務(wù)形式出現(xiàn)。這類(lèi)病毒，工具在用戶手工殺毒時(shí)，互聯(lián)網(wǎng)是一個(gè)重要的資源。- 一個(gè)軟件即使是Sreng也不管用了，因?yàn)镾reng設(shè)置服務(wù)不新的病毒痕跡用戶不一定知道其全部信息，可以借助互聯(lián)啟動(dòng)是重新啟動(dòng)才能有效，啟動(dòng)項(xiàng)目又由后臺(tái)服務(wù)維持，網(wǎng)尋找到所需的信息。使用互聯(lián)網(wǎng)時(shí)，用戶切記不可相信- " 旦重啟，啟動(dòng)項(xiàng)目又使服務(wù)有效。這類(lèi)病毒構(gòu)成了嚴(yán)格一些網(wǎng)名怪異的小網(wǎng)站:同時(shí)盡量用快照的形式分析所需意義上的閉環(huán)，常常是system級(jí)的進(jìn)程調(diào)用，以服務(wù)形的信息，不要輕易地下載文件資料。式出現(xiàn)，軟件工具可以看到，卻不能刪除。因此，多種工未來(lái)病毒發(fā)展是難以預(yù)料的，但是，“狐貍再狡猾,具交叉使用是非常必要的。一般地，服務(wù)可以用sreng,也難:斗好獵手”，新的軟件工具也會(huì)相繼出現(xiàn)，因?yàn)椴《緂mer終止服務(wù); processexplorer 等工具終止進(jìn)程，超級(jí)無(wú)非是利用了系統(tǒng)存在的技術(shù)一這本是人類(lèi)所共享的，兔子等工具修改啟動(dòng)項(xiàng)目，維護(hù)注冊(cè)表。有時(shí)候，看上去殺毒工具也同樣會(huì)利用這些技術(shù)排除相應(yīng)的惡意軟件。圖功能單- -的工具能起大作用，如unlocker,其他工具不能清除的，不-定它不能清除。參考文獻(xiàn):3.3 DOS下殺毒[1] 劉尊權(quán)，計(jì)算機(jī)病毒防范與信息對(duì)抗技術(shù)。清華大學(xué)出有時(shí)，因?yàn)樘?強(qiáng)勢(shì)”(包括暫時(shí)還找不到刪除方法版社,1991.的),如維持www . 8749.com的lcpc.dl,使用了各種方法,[2] http://www. jdepuy. net/ ?action- -viewthread- -tid- -24372.用完了各種工具,就是不能清除,這就要用到DOS系統(tǒng)下，[3] http://www. 712100. com/bbs/read-htm- tid- 6736868.刪除它們。在DOS下，一切文件都是可以操作的，這是html.殺毒的“殺手锏”。[4] htp://log. ustc. edu . c/arcives/00 _04 .html.如果因?yàn)橄到y(tǒng)盤(pán)是NTFS格式，運(yùn)行ntfspro. exe,[5] ht中國(guó)煤化Ihtarget. com. cn/windows系統(tǒng)盤(pán)就會(huì)變成-一個(gè)DOS下的普通邏輯盤(pán)。在.tips/26HCNMHGDOS下，會(huì)碰到隱藏系統(tǒng)文件，用attrib-s-h-r收稿日期:2007-08-04200712計(jì)算機(jī)安全189www.nsc.org.cn