|
如今绝大部分病毒和木马会随着系统一起启动,如何才能揪出系统启动过程中的病毒呢?请看本文。
一.利用“系统配置实用程序”
点击“开始”菜单→“运行”,输入“msconfig”运行“系统配置实用程序”。这是Windows管理系统启动的一个配置工具,通过它我们就可以揪出一部分随系统启动的病毒了。
运行“系统配置实用程序”后,切换到“启动”标签,其中罗列着系统启动时会运行的应用程序,判断其中是否存在病毒等恶意程序需要一定的病毒知识,至少需要了解系统自带的启动项。在“命令”标签中会显示可执行程序的路径,我们尤其要注意的是位于每个分区根目录,以及%systemroot%system32目录下的不常见或常见位置不对的可执行文件,在启动项中出现很可能就是病毒文件。
图1.系统配置实用程序 小贴士:Windows 2000系统没有“系统配置实用程序”,我们可以从Windows XP中拷贝一份msconfig.exe到Windows 2000中,双击运行即可。msconfig.exe位于Windows XP的%systemroot%PCHealthHelpCtrBinaries目录。
二.启动文件夹
在我们系统中有一个文件夹,任何文件放到这个文件夹中都可以实现随系统启动,这个文件夹位于:Cocuments and Settings用户名「开始」菜单程序启动。由于它的特殊作用,病毒也喜欢把自身拷贝到这个文件夹中,因此这里也是我们要检查的地方。
小贴士:通常情况下,“启动”是空的,如果里面有可执行文件存在,请仔细检查。
三.注册表中的启动项
注册表是病毒最喜欢藏身的地方,因为在注册表的启动项中动手脚,可以实现病毒随系统启动的效果。启动项位于注册表的HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun和HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun处。
图2.注册表中的启动项 在“运行”中输入“regedit”可以打开“注册表编辑器”,展开上述的两个位置,这时在“注册表编辑器”的右侧就会看到所有的启动项。如果发现了病毒,可以在键值上面点右键,选择“删除”即可。
四.系统服务
现在不少病毒会通过系统的“服务”来实现自动启动,因为通过服务启动更隐蔽也更安全。我们可以依次进入“控制面板”→“管理工具”→“服务”,查找是否存在病毒的服务。点击两下“启动类型”列表,可以优先查找“自动”启动的服务,因为病毒服务通常是自动启动的。
图3.检测系统服务 如果你对病毒的服务不甚熟悉,也可以借助一些安全工具进行检测,例如IceSword,运行后进入“查看”标签,点击“服务”按钮,即可查看系统中的服务,尤其在检测病毒的隐藏服务时很有效。此外,System Repair Engineer、360安全卫士等工具也可以检测系统服务。
图4.通过安全工具检测 |
|