以身试毒 打造自己的电脑病毒实验室(3) ⑵注册表清理 IceSword同时也集成了注册表浏览和部分编辑功能,很实用,但是要编辑或创建键值还是用注册表编辑器(regedit.exe)里来进行编辑。由于关闭瑞星的注册表监控,病毒的注册表行为不是很清楚,但这里可以很明显的看出htedtp.exe文件已经成功地创建了自启动值,(见图7)右击删除所选即可。还有其他地方也是病毒常常光顾的地方,由于介绍的文章很多不在重复说明。至此病毒清除完毕。
小知识:Autorun.inf文件的是非 在这里我们要强调一点,有的病毒会在创建病毒文件时“赠送”一个Autorun.inf文件,此sxs病毒的INF文件所写的内容 [AutoRun] open=sxs.exe shellexecute=sxs.exe shell\Auto\command=sxs.exe 其他很多病毒和这个病毒一样“慷慨”地将这个文件分发到其他分区和移动存储上以备不时之需。这个文件的相关内容以往Cfan介绍的很多,它的目的就是为自己打造不死之身,所以要在清除sxs的同时要注意顺便清除它一下。不过病毒有时还会修改磁盘打开关联,推荐一款DSW实验室的Autorun病毒免疫工具,它还可以修复磁盘打开关联,下载地址:http://killer.9i3g.cn/download/antiautorun.rar 常看《电脑爱好者》的朋友们一定知道“蜜罐”技术吧,虽然此文的方法与“蜜罐”技术相距甚远,但是打造一个安全的、可控的实验室环境来静观病毒发作是它们的共同点。让病毒将自己的行为暴露给我们,然后我们以最简单的方式将病毒消灭掉,然后将病毒的“罪状”一条条列出,制作出相应的专杀工具以弥补杀毒软件升级滞后带来的麻烦。相信你看过此文后就知道了其实高手们的制作病毒分析报告的过程也不是很神秘的,你也可以试试看的!
