為了逃避追捕，越來越多的病毒將自身偽裝成驅(qū)動文件，以看似合法的身份從底層侵入系統(tǒng)。因為驅(qū)動文件擁有很高的運行級別，所以常規(guī)安全軟件在發(fā)現(xiàn)和清除這類病毒上往往會力不從心。我們當(dāng)然不能坐視病毒泛濫，應(yīng)該果斷出手，發(fā)現(xiàn)并清除這些害群之馬。

　　利用設(shè)備管理器，發(fā)現(xiàn)病毒驅(qū)動文件

　　運行“devmgmt.msc”程序，在設(shè)備管理器窗口點擊菜單“查看”→“顯示隱藏的設(shè)備”項，在設(shè)備列表中打開“非即插即用驅(qū)動程序”項，在其中顯示所有驅(qū)動型軟件的服務(wù)程序。當(dāng)發(fā)現(xiàn)可疑驅(qū)動（例如“winaudsvr”等），在其屬性窗口中的“驅(qū)動程序”面板中雙擊“驅(qū)動程序詳細(xì)信息”按鈕，在彈出窗口中查看其實際路徑信息（例如“C：WindowsSystemDriverswinaudsvr.sys”）。在“驅(qū)動程序”面板中的“類型”列表中選擇“已禁用”項。之后重啟電腦，就可以讓該虛假的驅(qū)動程序失去活力，之后進(jìn)入上述路徑，手工將病毒文件清除。

　　比對文件信息，追蹤病毒驅(qū)動文件

　　當(dāng)然，有時僅僅依靠安全軟件，是無法完全保證系統(tǒng)安全的。為了及時發(fā)現(xiàn)病毒驅(qū)動的蹤跡，可以在系統(tǒng)處于正常狀態(tài)時，在CMD窗口中執(zhí)行“dirc：windows*.sys/s>sys1.txt”命令，將系統(tǒng)文件夾中的所有驅(qū)動文件記錄下來。當(dāng)發(fā)現(xiàn)系統(tǒng)運行出現(xiàn)異常時，在CMD窗口中執(zhí)行“dirc：windows*.sys/s>sys2.txt”命令，將當(dāng)前系統(tǒng)文件夾中所有的驅(qū)動文件記錄下來。之后執(zhí)行“fcsys1.txtsys2.txt”命令，來對兩者進(jìn)行比對。對于多出來的一些SYS文件，通過對其創(chuàng)建時間、存儲路徑、版本、是否壓縮、數(shù)字簽名等特征進(jìn)行分析后，很容易發(fā)現(xiàn)來歷不明的可疑驅(qū)動文件。為了安全起見，可以利用搜索引擎查找該文件相關(guān)信息，確認(rèn)其是病毒驅(qū)動后，重啟并入WinPE環(huán)境將其清除，之后在注冊表中搜索和清除與其相關(guān)的所有項目，將其從系統(tǒng)中徹底驅(qū)逐出去。

　　利用審核機制，讓病毒驅(qū)動文件露馬腳

　　我們知道，“C：WindowsSystemDrivers”目錄是驅(qū)動文件聚集地，也是病毒驅(qū)動最主要的藏身處。在該文件夾的屬性窗口中的“安全”面板中點擊“高級”按鈕，在彈出窗口中的“審核”面板中點擊“編輯”按鈕，在彈出窗口中點擊“添加”按鈕，在選擇用戶和組窗口中選定需要監(jiān)控的賬戶或者組名，例如選擇“Everyone”賬戶。在審核項目窗口中的“訪問”欄中選擇“創(chuàng)建文件/寫入數(shù)據(jù)”項，勾選右側(cè)的“成功”和“失敗”選擇框。點擊確定按鈕后，將與Everyone賬戶相關(guān)的所有文件創(chuàng)建和寫入操作列入監(jiān)控范圍。

　　在“開始”→“運行”中執(zhí)行“gpedit.msc”程序，在組策略窗口左側(cè)打開“計算機配置”→“Windows設(shè)置”→“安全設(shè)置”→“本地策略”→“審核策略”項，在右側(cè)窗口中雙擊“審核對象訪問”項，在彈出窗口中的“本地安全設(shè)置”面板中勾選“成功”和“失敗”項，點擊確定按鈕，完成配置操作。

　　當(dāng)系統(tǒng)出現(xiàn)異常，懷疑有病毒驅(qū)動文件進(jìn)入時，可以運行“eventvwr.msc”程序，在事件查看器的窗口左側(cè)選擇“安全性”項，點擊菜單“查看”→“篩選”項，在彈出窗口中僅僅勾選“成功審核”和“失敗審核”項，這樣就大大縮小了搜索范圍。如果發(fā)現(xiàn)有用戶對“Drivers”文件夾進(jìn)行了訪問，就說明有可疑程序?qū)ο到y(tǒng)驅(qū)動程序進(jìn)行了改動。根據(jù)日志提供的信息，可以輕松找到病毒驅(qū)動文件，進(jìn)入WinPE環(huán)境將其清除。

　　文/劉景云

關(guān)注讀覽天下微信， 100萬篇深度好文， 等你來看……