菜鸟出手，赶走驱动级病毒文件

　　为了逃避追捕，越来越多的病毒将自身伪装成驱动文件，以看似合法的身份从底层侵入系统。因为驱动文件拥有很高的运行级别，所以常规安全软件在发现和清除这类病毒上往往会力不从心。我们当然不能坐视病毒泛滥，应该果断出手，发现并清除这些害群之马。

　　利用设备管理器，发现病毒驱动文件

　　运行“devmgmt.msc”程序，在设备管理器窗口点击菜单“查看”→“显示隐藏的设备”项，在设备列表中打开“非即插即用驱动程序”项，在其中显示所有驱动型软件的服务程序。当发现可疑驱动（例如“winaudsvr”等），在其属性窗口中的“驱动程序”面板中双击“驱动程序详细信息”按钮，在弹出窗口中查看其实际路径信息（例如“C：WindowsSystemDriverswinaudsvr.sys”）。在“驱动程序”面板中的“类型”列表中选择“已禁用”项。之后重启电脑，就可以让该虚假的驱动程序失去活力，之后进入上述路径，手工将病毒文件清除。

　　比对文件信息，追踪病毒驱动文件

　　当然，有时仅仅依靠安全软件，是无法完全保证系统安全的。为了及时发现病毒驱动的踪迹，可以在系统处于正常状态时，在CMD窗口中执行“dirc：windows*.sys/s>sys1.txt”命令，将系统文件夹中的所有驱动文件记录下来。当发现系统运行出现异常时，在CMD窗口中执行“dirc：windows*.sys/s>sys2.txt”命令，将当前系统文件夹中所有的驱动文件记录下来。之后执行“fcsys1.txtsys2.txt”命令，来对两者进行比对。对于多出来的一些SYS文件，通过对其创建时间、存储路径、版本、是否压缩、数字签名等特征进行分析后，很容易发现来历不明的可疑驱动文件。为了安全起见，可以利用搜索引擎查找该文件相关信息，确认其是病毒驱动后，重启并入WinPE环境将其清除，之后在注册表中搜索和清除与其相关的所有项目，将其从系统中彻底驱逐出去。

　　利用审核机制，让病毒驱动文件露马脚

　　我们知道，“C：WindowsSystemDrivers”目录是驱动文件聚集地，也是病毒驱动最主要的藏身处。在该文件夹的属性窗口中的“安全”面板中点击“高级”按钮，在弹出窗口中的“审核”面板中点击“编辑”按钮，在弹出窗口中点击“添加”按钮，在选择用户和组窗口中选定需要监控的账户或者组名，例如选择“Everyone”账户。在审核项目窗口中的“访问”栏中选择“创建文件/写入数据”项，勾选右侧的“成功”和“失败”选择框。点击确定按钮后，将与Everyone账户相关的所有文件创建和写入操作列入监控范围。

　　在“开始”→“运行”中执行“gpedit.msc”程序，在组策略窗口左侧打开“计算机配置”→“Windows设置”→“安全设置”→“本地策略”→“审核策略”项，在右侧窗口中双击“审核对象访问”项，在弹出窗口中的“本地安全设置”面板中勾选“成功”和“失败”项，点击确定按钮，完成配置操作。

　　当系统出现异常，怀疑有病毒驱动文件进入时，可以运行“eventvwr.msc”程序，在事件查看器的窗口左侧选择“安全性”项，点击菜单“查看”→“筛选”项，在弹出窗口中仅仅勾选“成功审核”和“失败审核”项，这样就大大缩小了搜索范围。如果发现有用户对“Drivers”文件夹进行了访问，就说明有可疑程序对系统驱动程序进行了改动。根据日志提供的信息，可以轻松找到病毒驱动文件，进入WinPE环境将其清除。

　　文/刘景云