為了逃避追捕，越來越多的病毒將自身偽裝成驅動文件，以看似合法的身份從底層侵入系統(tǒng)。因為驅動文件擁有很高的運行級別，所以常規(guī)安全軟件在發(fā)現(xiàn)和清除這類病毒上往往會力不從心。我們當然不能坐視病毒泛濫，應該果斷出手，發(fā)現(xiàn)并清除這些害群之馬。

　　利用設備管理器，發(fā)現(xiàn)病毒驅動文件

　　運行“devmgmt.msc”程序，在設備管理器窗口點擊菜單“查看”→“顯示隱藏的設備”項，在設備列表中打開“非即插即用驅動程序”項，在其中顯示所有驅動型軟件的服務程序。當發(fā)現(xiàn)可疑驅動（例如“winaudsvr”等），在其屬性窗口中的“驅動程序”面板中雙擊“驅動程序詳細信息”按鈕，在彈出窗口中查看其實際路徑信息（例如“C：WindowsSystemDriverswinaudsvr.sys”）。在“驅動程序”面板中的“類型”列表中選擇“已禁用”項。之后重啟電腦，就可以讓該虛假的驅動程序失去活力，之后進入上述路徑，手工將病毒文件清除。

　　比對文件信息，追蹤病毒驅動文件

　　當然，有時僅僅依靠安全軟件，是無法完全保證系統(tǒng)安全的。為了及時發(fā)現(xiàn)病毒驅動的蹤跡，可以在系統(tǒng)處于正常狀態(tài)時，在CMD窗口中執(zhí)行“dirc：windows*.sys/s>sys1.txt”命令，將系統(tǒng)文件夾中的所有驅動文件記錄下來。當發(fā)現(xiàn)系統(tǒng)運行出現(xiàn)異常時，在CMD窗口中執(zhí)行“dirc：windows*.sys/s>sys2.txt”命令，將當前系統(tǒng)文件夾中所有的驅動文件記錄下來。之后執(zhí)行“fcsys1.txtsys2.txt”命令，來對兩者進行比對。對于多出來的一些SYS文件，通過對其創(chuàng)建時間、存儲路徑、版本、是否壓縮、數(shù)字簽名等特征進行分析后，很容易發(fā)現(xiàn)來歷不明的可疑驅動文件。為了安全起見，可以利用搜索引擎查找該文件相關信息，確認其是病毒驅動后，重啟并入WinPE環(huán)境將其清除，之后在注冊表中搜索和清除與其相關的所有項目，將其從系統(tǒng)中徹底驅逐出去。

　　利用審核機制，讓病毒驅動文件露馬腳

　　我們知道，“C：WindowsSystemDrivers”目錄是驅動文件聚集地，也是病毒驅動最主要的藏身處。在該文件夾的屬性窗口中的“安全”面板中點擊“高級”按鈕，在彈出窗口中的“審核”面板中點擊“編輯”按鈕，在彈出窗口中點擊“添加”按鈕，在選擇用戶和組窗口中選定需要監(jiān)控的賬戶或者組名，例如選擇“Everyone”賬戶。在審核項目窗口中的“訪問”欄中選擇“創(chuàng)建文件/寫入數(shù)據(jù)”項，勾選右側的“成功”和“失敗”選擇框。點擊確定按鈕后，將與Everyone賬戶相關的所有文件創(chuàng)建和寫入操作列入監(jiān)控范圍。

　　在“開始”→“運行”中執(zhí)行“gpedit.msc”程序，在組策略窗口左側打開“計算機配置”→“Windows設置”→“安全設置”→“本地策略”→“審核策略”項，在右側窗口中雙擊“審核對象訪問”項，在彈出窗口中的“本地安全設置”面板中勾選“成功”和“失敗”項，點擊確定按鈕，完成配置操作。

　　當系統(tǒng)出現(xiàn)異常，懷疑有病毒驅動文件進入時，可以運行“eventvwr.msc”程序，在事件查看器的窗口左側選擇“安全性”項，點擊菜單“查看”→“篩選”項，在彈出窗口中僅僅勾選“成功審核”和“失敗審核”項，這樣就大大縮小了搜索范圍。如果發(fā)現(xiàn)有用戶對“Drivers”文件夾進行了訪問，就說明有可疑程序對系統(tǒng)驅動程序進行了改動。根據(jù)日志提供的信息，可以輕松找到病毒驅動文件，進入WinPE環(huán)境將其清除。

　　文/劉景云

關注讀覽天下微信， 100萬篇深度好文， 等你來看……