为了逃避追捕,越来越多的病毒将自身伪装成驱动文件,以看似合法的身份从底层侵入系统。因为驱动文件拥有很高的运行级别,所以常规安全软件在发现和清除这类病毒上往往会力不从心。我们当然不能坐视病毒泛滥,应该果断出手,发现并清除这些害群之马。
利用设备管理器,发现病毒驱动文件
运行“devmgmt.msc”程序,在设备管理器窗口点击菜单“查看”→“显示隐藏的设备”项,在设备列表中打开“非即插即用驱动程序”项,在其中显示所有驱动型软件的服务程序。当发现可疑驱动(例如“winaudsvr”等),在其属性窗口中的“驱动程序”面板中双击“驱动程序详细信息”按钮,在弹出窗口中查看其实际路径信息(例如“C:WindowsSystemDriverswinaudsvr.sys”)。在“驱动程序”面板中的“类型”列表中选择“已禁用”项。之后重启电脑,就可以让该虚假的驱动程序失去活力,之后进入上述路径,手工将病毒文件清除。
比对文件信息,追踪病毒驱动文件
当然,有时仅仅依靠安全软件,是无法完全保证系统安全的。为了及时发现病毒驱动的踪迹,可以在系统处于正常状态时,在CMD窗口中执行“dirc:windows*.sys/s>sys1.txt”命令,将系统文件夹中的所有驱动文件记录下来。当发现系统运行出现异常时,在CMD窗口中执行“dirc:windows*.sys/s>sys2.txt”命令,将当前系统文件夹中所有的驱动文件记录下来。之后执行“fcsys1.txtsys2.txt”命令,来对两者进行比对。对于多出来的一些SYS文件,通过对其创建时间、存储路径、版本、是否压缩、数字签名等特征进行分析后,很容易发现来历不明的可疑驱动文件。为了安全起见,可以利用搜索引擎查找该文件相关信息,确认其是病毒驱动后,重启并入WinPE环境将其清除,之后在注册表中搜索和清除与其相关的所有项目,将其从系统中彻底驱逐出去。
利用审核机制,让病毒驱动文件露马脚
我们知道,“C:WindowsSystemDrivers”目录是驱动文件聚集地,也是病毒驱动最主要的藏身处。在该文件夹的属性窗口中的“安全”面板中点击“高级”按钮,在弹出窗口中的“审核”面板中点击“编辑”按钮,在弹出窗口中点击“添加”按钮,在选择用户和组窗口中选定需要监控的账户或者组名,例如选择“Everyone”账户。在审核项目窗口中的“访问”栏中选择“创建文件/写入数据”项,勾选右侧的“成功”和“失败”选择框。点击确定按钮后,将与Everyone账户相关的所有文件创建和写入操作列入监控范围。
在“开始”→“运行”中执行“gpedit.msc”程序,在组策略窗口左侧打开“计算机配置”→“Windows设置”→“安全设置”→“本地策略”→“审核策略”项,在右侧窗口中双击“审核对象访问”项,在弹出窗口中的“本地安全设置”面板中勾选“成功”和“失败”项,点击确定按钮,完成配置操作。
当系统出现异常,怀疑有病毒驱动文件进入时,可以运行“eventvwr.msc”程序,在事件查看器的窗口左侧选择“安全性”项,点击菜单“查看”→“筛选”项,在弹出窗口中仅仅勾选“成功审核”和“失败审核”项,这样就大大缩小了搜索范围。如果发现有用户对“Drivers”文件夹进行了访问,就说明有可疑程序对系统驱动程序进行了改动。根据日志提供的信息,可以轻松找到病毒驱动文件,进入WinPE环境将其清除。
文/刘景云
……
关注读览天下微信,
100万篇深度好文,
等你来看……