恶意软件排查与系统维护实用指南
1. 恶意软件概述
恶意软件会引发诸多计算机问题,它总是执行违背用户利益的操作。有时它会悄然运行,不易被察觉;有时则会明显地暴露自己,如本章提到的恐吓软件。与许多合法软件不同,恶意软件常常会主动阻止自身被发现或移除。下面通过几个具体案例来深入了解恶意软件的特点和排查方法。
2. 恶意软件案例分析
2.1 Sysinternals 工具阻止型恶意软件
- 问题发现:一位朋友认为其系统感染了恶意软件,启动和登录时间长,且使用 Microsoft Security Essentials 进行恶意软件扫描无法完成。用户在任务管理器中未发现异常进程,尝试运行 Sysinternals 工具(如 AutoRuns、Procmon、Procexp 和 RootkitRevealer),但这些工具启动后立即退出,甚至用记事本打开名为“Process Explorer”的文本文件也会立即终止。
- 排查过程
- 切换桌面:用户注意到 Desktops 工具,推测恶意软件在监控窗口标题,于是运行 Desktops 并切换到第二个桌面,成功启动了 Procmon 等工具。
- 使用 Procexp 检查:启用 Verify Signers 选项和 Verified Signer 列,确认所有进程的主可执行映像文件看起来有效。
- 运行 Procmon 分析
