未知病毒的查杀技术

真正意义上的病毒主动防御技术特指的是对未知病毒的防范， 在没有获得病毒样本前阻止病毒的运行。

上面的话不知道是哪个专家对于主动防御技术的总结，其实从这句话就可以知道，现在没有真正意义上的主动防御。首先声明一件事，在这里我对杀软的任何评价，均不代表该杀软不好。我只是说它的功能的不足之处，不代表整体性能。

06年年末的时候网上的东方微点炒得很热，当时，该杀软主要以主动防御为卖点。让我错误的以为国内主动防御迈出了一大步，我满怀期待的下载测试了一下。结果令我很是失望，我用了一个大约有500个病毒的病毒库(95%的病毒是已经能被普通杀软查杀的已知病毒)，运行里面的病毒，直到卡死机，微点一个病毒也没有报。结果我仅让微点在我系统带了5个小时，永久的删除了它。

未知病毒的查杀的确很难，杀软不容易办到，如果杀软能嵌入系统的内核，我想可能会对未知病毒的查杀效果好的多。但是微软会把操作系统代码公布吗？所以，主动防御短时间内，可能只会有很小的突破。（现在微软自己也在搞杀软，但是现在的效果不好，不知道以后怎么样。）

好了，回归主题。今天讲解一下，普通用户，借助常用的小软件对未知病毒进行查杀。

上次已经介绍了发现未知病毒的方法，其实病毒如果能被发现查杀就不是太难，当然排除某些极其恶性的病毒。

当怀疑自己中了未知病毒，用HijackThis 扫描之后，可以发现注册表，系统服务的可疑项，当然这个你要对HijackThis很熟悉，对于HijackThis的使用网上教程很多，搜索一下自己看看。看不懂也要学着看一下，慢慢你就知道了系统哪些是正常的哪些是不正常的了。

今天还是那灰鸽子为例吧。

首先启动冰刃，在进程里面看到一般情况下，里面的进程应该是黑色的，但是如果有特殊的插入话，会出现红色的。（当然有些就算不是鸽子插入也会显示红色，这个需要具体分析，一般情况下红色的就代表可能中毒，这个我也不敢绝对的说。）

看到红色显示的先用冰刃结束它，然后用HijackThis进行日志扫描，扫描日志如果发现发现O23 - Service: XXXService - Unknown owner - C:/windows/system32/XXX.EXE，这个xxx代表任意的，非系统的，也就是你从来没用过的一个可执行程序。然后到C:/windows/system32 显示隐藏文件，找到这个XXX.EXE看看同目录下有没有同名的 XXX.dll, XXX_Hook.dll。将这些文件删除，杀到这一步的时候鸽子基本已经杀掉了。然后清理一下注册表中和XXX.EXE名字相同的项目。当然如果你中鸽子有一段时间了，杀掉这个母本已经没有任何意义了，需要对系统进行全面排查。

从查杀鸽子可以看出一般未知病毒的查杀步骤1.查杀可以进程2.通过日志分析可疑内容3.删除可疑内容相关文件.4.删除注册表中和可疑文件同名的项目。

其实还有一步就是修复，部分病毒会对系统造成相当大的破坏性，比如，修改程序（熊猫烧香大家还记得吧），这样的病毒查杀完后之后被破坏的文件还是一样无法恢复（当然现在是可以了）。 对于这种病毒，大家可以将被破坏的程序重装，或者先打包压缩，等有恢复功能的查杀工具出来再恢复。至于系统文件可以将系统安装盘放进去，然后在系统菜单》》运行里输入 sfc/ scannow 。（从硬盘恢复需要有安装盘的拷贝，修改注册表相关文件，有需要网上搜索一下。这里不再详述）  被病毒删除的文件可以用一些恢复软件恢复。当然恢复回来的也是带毒的，注意隔离。

写到这里我也有些感触，其实大部分时间手动杀毒的意义不大，因为病毒一般感染的话会感染大量文件，这样造成修复困难。这里的查杀方法等也只是控制住病毒的感染范围。