42、恶意软件排查与系统维护实用指南

恶意软件排查与系统维护实用指南

1. 恶意软件概述

恶意软件会引发诸多计算机问题，它总是执行违背用户利益的操作。有时它会悄然运行，不易被察觉；有时则会明显地暴露自己，如本章提到的恐吓软件。与许多合法软件不同，恶意软件常常会主动阻止自身被发现或移除。下面通过几个具体案例来深入了解恶意软件的特点和排查方法。

2. 恶意软件案例分析

2.1 Sysinternals 工具阻止型恶意软件

• 问题发现：一位朋友认为其系统感染了恶意软件，启动和登录时间长，且使用 Microsoft Security Essentials 进行恶意软件扫描无法完成。用户在任务管理器中未发现异常进程，尝试运行 Sysinternals 工具（如 AutoRuns、Procmon、Procexp 和 RootkitRevealer），但这些工具启动后立即退出，甚至用记事本打开名为“Process Explorer”的文本文件也会立即终止。
• 排查过程
  • 切换桌面：用户注意到 Desktops 工具，推测恶意软件在监控窗口标题，于是运行 Desktops 并切换到第二个桌面，成功启动了 Procmon 等工具。
  • 使用 Procexp 检查：启用 Verify Signers 选项和 Verified Signer 列，确认所有进程的主可执行映像文件看起来有效。
  • 运行 Procmon 分析