首先和大家介紹一下手工殺毒

手工殺毒，就是指靠人工識別病毒木馬,然后用一些其他工具將其誅殺,它于傳統的殺毒軟件殺毒方式的區別，就在于，是否有人工識別的過程,而傳統的殺毒軟件，則只需用戶通過一個按鈕，完成整個殺毒過程，手工殺毒則人工識別某些文件的行為，然后將其清除。

系統安全，方法有很多：影子系統、虛擬機、沙箱...但很多時候真的沒有必要。保持良好的上網習慣和用機習慣，做好適當的備份就可以了。所以這里不討論那些虛擬技術，主要是真實系統中的一些問題。雖然談的是手工殺毒，但還是要列舉一下平常會用到的可能有關的一些東西：

我們介紹殺毒的處理的方式（一層進一層地處理）：

1、安全模式下全盤查殺。 
2、將硬盤掛接到其它機器上全盤查殺。 
3、重裝系統后，僅操作桌面的情況下，安裝殺毒軟件全盤查殺。
4、依靠殺毒軟件是對的，因為手工來殺意味著麻煩和很可能的失敗，但是完全交給殺毒軟件也不妥當。在病毒成功干擾殺毒軟件之后，我們就要手工盡可能去排除干擾。一旦病毒進來了，難說病毒不會把殺毒軟件先干掉。即使不用，了解下也沒有壞處。

進入手工殺毒的主題：

　　當中毒之后，第一步，就是斷網，并且千萬不能系統重啟(即使重啟也不要正常重啟)。

　　中毒后的癥狀現在也出奇的有一致性，干擾如360這類安全工具，禁用任務管理器等等。平時多注意任務管理器多注意進程，熟悉系統盤里的文件，以及文件的修改時間，會為手工殺毒帶來方便，第一時間知道中毒，第一時間劃定可疑范圍。在殺毒里最開始也是最重要的一步，就是干掉病毒的進程。這就涉及到很多工具。沒有這些工具，手工殺毒根本無從談起。

　　首先是我們平時用的最多的任務管理器。用Ctrl+Shift+ESC調出(似乎平時人們都更喜歡Ctrl+Alt+Delete)。最大的缺點是不能同時結束兩個以上的進程，而且可以說一直是病毒的首要目標，功能比較雞肋。但是通常可以是一個信號燈，一旦其失效，就要考慮是不是中毒了~

　　我強烈推薦Sysinternals的Process Explorer和Process Monitor，因為這兩個軟件實在是太好了。自從Winternals被微軟收購后，Sysinternals也被并入微軟名下，所以其工具對于windows系統的支持非常好。

　　Process Explorer可以完全取代系統自帶的雞肋般的taskmanager，提供的功能之強，使得這款軟件歷經多年仍然難有出其右者。對于進程信息的提供真是應有盡有了，詳細而透徹。雖然近一年時間似乎也逐漸成為病毒屏蔽目標之一，但是強大功能和實用性，我一直無法放棄使用。按Ctrl+H,還可以切換到Handler視圖進行更加高級的操作。

[object Object]

　　早些時候使用process explorer可以說是百試百靈的，可以逃脫的病毒并不多，現在情況就差很多了。下面是我以前碰到的一個例子:U盤上總是會被寫上一個文件，文件大小是655k，刪除之后過會又會重建。在任務管理器中看不出什么問題，但是在process explorer下卻是一目了然。有一個進程作為用戶進程居然沒有父進程，看其行為，居然每隔一定時間就有一次IO操作，大小剛好也是655k。于是找到位置，刪除之。同時用Process Monitor追蹤了一下找到其他一些文件刪除，系統恢復。可以說殺的并不完整，但是病毒已經無效化了。

[object Object]

[object Object]

　　Process Monitor實際上是對進程的文件系統和注冊表調用的監視。對于特定進程可以完全跟蹤文件讀寫和注冊表的讀寫，這對于排查病毒極為有用。同時也提供了一個進程查看器，其雖然不如專門的進程查看器process explorer強大，卻也十分實用，特別是存活時間可以說是一目了然。

[object Object]

在熊貓燒香肆虐的時候，可以說是IceSword大顯神威的時候。對于這款軟件就不多說了，到了1.22后軟件作者就沒有再更新了，功能之強大也是沿用至今的利器。但是我一直是用不好的，因為自從用起Sysinternals的工具后，用冰刃的時候就少了很多。強大的工具，要小心使用，不然會危及系統。

[object Object]

　　也許以上我都是在介紹軟件，但是事實就是這樣。我們必須借助軟件工具找到病毒進程，找到病毒位置。其實很有意思，殺毒的大部分時間都是花在尋找病毒之上的，不論是殺毒軟件，還是手工處理。很多時候也許沒有這么多工具可用，那么就只能考慮CMD了。運行中輸入cmd進入命令行，命令tasklist可以顯示當前進程信息，而命令taskkill則可以殺掉指定PID的進程。詳細的可以鍵入tasklist /?看幫助，說明和用法都很詳細。另外記得還有個tskill，和一個ntsd，記不怎么清楚了，我不常用。

[object Object]

常常還用一些輔助軟件，因為覺得很多時候工具都是不夠用的。比如一個網絡工具——Tcpview，可以查看網絡信息和鏈接，這對于系統診斷也是相當有效。看看哪個進程在做壞事吧，這個工具總是可以給我帶來驚喜，盡管它不僅僅可以用于查毒。
 

與之對應的是，CMD也是又命令可以達到類似效果的，但是比較麻煩。命令netstat，并配合其參數也可以有比較好的效果。
 

對于這些工具，用著用著就會上手的。即使不精通的話，時間長了觀察熟了抓毒就越快越準了。所以我不打算再講簡單用法了，使用這些工具僅僅只需要一些計算機的知識，或者說想要做高級一點的操作，需要的是編程方面的儲備，特別是操作系統那一塊。

病 毒侵入計算機后，通常都會實現自啟動。找到并清除其自啟動項將極大的限制其危害。通常最簡單的方法是系統自帶的“系統配置實用程序”。在運行里輸入 msconfig回車，在啟動標簽里，顯示了一部分的系統啟動項目，通過簡單的勾選可以選擇要啟動的項目。然而對于系統本身來說，這里沒有一個啟動項是必 須的，可以全部去掉也沒什么關系。通常的做法是保留ctfmon(系統輸入法)，選擇保留其他的自己的程序。
 

　 　更加多的啟動項就要到注冊表里尋找了。運行regedit啟動注冊表編輯器，查找定位到一些啟動位置看看是否又異常。以比較常見的位置來 說，HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion下的Run、RunOnce、 RunOnceEx、RunOnceSetup、RunServices、RunServicesOnce以及HKEY_CURRENT_USER分支下 對應的這些位置，都可以被利用，其中又尤以Run下的改動最為常見。事實上msconfig所列出的也就是注冊表里的東西。另外還有 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionPoliciesExplorerRun及HKEY_CURRENT_USER對應位置等，網上搜索應可以找到一些更加偏的 位置，雖然同樣可以利用，但是通常比較少見。而對于“C:Documents and Settings用戶名開始菜單程序啟動”里的所有快捷方式，系統會自動啟動。這可以方便的先自己希望自啟動的程序。此位置并不常被利用，但還是要留意 下。更詳細的啟動項位置關系可以google下，知道了啟動的順序、作用可以更清楚地了解這個過程，在此不再復述。

對于可疑的自啟動 項，可以直接刪除。并且還要對注冊表全面關鍵字搜索，直接確定的就刪除，無法確定的就上網查找信息。而在修改之前，對于猶如系統數據庫般的注冊表，同樣要 本著備份的思想。備份的方法是在注冊表編輯器里右擊要備份的分支，然后“導出”。現在形形色色注冊表備份工具，也給注冊表的備份和恢復提供了便利。
 

　 　運行services.msc可以啟動系統服務配置。如果病毒成功的獲取了系統權限，成功的注冊成了系統服務，那么這里也是不能放過的。通常在這里優化 系統的服務可以減少必要的進程從而達到優化系統的目的。這些服務設置為自動則會在開機時自啟動，設置為手動則是在必要是調用啟動。對于危險項(比如 Remote Registry)則通常是禁用的。
 

病毒注冊成服務后，有些很明顯，沒有描述啟動位置也很可疑，有些則會偽裝。下圖是我以前遇到過的一個例子，這讓人想起了進程里的偽裝，雖然拙劣但是用心良苦。
 

修改服務時，最好也做好備份，可以導出注冊表對應分支HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices。

還有一個地方值得一看，那就是啟動/關機腳本。運行gpedit.msc啟動組策略編輯器，在位于用戶配置-Windows設置-腳本(登錄/注銷)位置，在這里設置的腳本將會在登錄或注銷自動執行。
 

但是很多時候處理問題并不是這么復雜，使用集成工具可以大大簡化這些操作。我用的是功能強大的Autoruns(呵呵，又是一個 Sysinternals的東西)。這個工具把系統的啟動項統統籠絡在一個界面里提供管理和查詢，有用的描述和映像路徑幫助我們找出可疑文件。當然，工具 越是強大也就越是危險，以前我還在琢磨Autoruns的使用的時候就搞的系統崩潰了，以后用的時候格外小心...
 

很多系統優化工具也提供啟動項的管理，包括360在內的很多軟件的這種功能也很好用。但是關鍵之一就是中毒之后，360很多時候都不能用（當然也可以選擇修360），那個時候就是有什么能用就用什么的境地了，多幾種方法絕對有好處。

說 完了自啟動，下面就要殺毒了。其實所謂的殺毒或者說刪除是在是殺毒過程中的一小部分。通過上面的方法——不論是在進程中還是啟動項里查到或者是跟蹤得到的 位置信息(總之尋到蛛絲馬跡是上面的主要任務)，現在就是找到那個位置，把病毒delete。直接刪除，很少可以成功，即使刪除成功，病毒也大多不會終 結。

無法刪除，不管是由于進程沒有清理完整，或者驅動級病毒的文件保護以及系統進程的注入等都會導致這種情況。借助于Unlocker這種解除鎖定的工具

　　再配合如文件粉碎機或 者文件強行刪除工具強制刪除，效果較好。同時在安全模式下操作可以保證成功率，盡管很多時候安全模式都被破壞，但是應該盡可能地使用安全模式。實在無法解 決只能訴諸于DOS，或者WinPE，系統之上的系統可以干掉所有非底層病毒。DOS下相對操作較為繁瑣，PE系統則易用很多，許多PE系統還提供很多有 用的工具。但是關于刪除，我想我還又別的思路，那就是在定位病毒文件磁盤扇區后，強制使用MHDD調硬盤直接把那個地方erase掉！對此我嘗試過，但是 步驟顯得太繁雜，還不如純DOS，所以只能說是一種噱頭。

另一個問題是如何揪出病毒的殘余？對此我個人的方法十分有限，除了盲目地跟 蹤加載項(很少有人對此有興趣并且擅長)，以及沒頭沒腦地使用各種工具尋找蛛絲馬跡外，沒有很好的方法。平常還用一種手段，就是編寫一小段腳本找出系統可 疑的近期創建的文件。如果是在中毒后立即發現并查殺的話，此方法尤其奏效。但是局限于程序員和對系統環境熟悉并且敏感的人。所以說，手工殺毒，并非是推薦 方法。

最后的步驟，我想說，讓殺毒軟件來解決吧......雖然本文寫的是手工，但是作為非專業殺毒的區區網管，我感覺自己所能做的 實在是很有限的。盡可能地阻止病毒的進程和啟動，解除病毒體對于殺毒軟件的干擾，我認為是作為手工殺毒的主要任務，這是由于我個人能力比較有限。雖然已經 過了牛人輩出的時代，但是牛人的數量卻是驚人，如果是他們的話，一定可以妙手摘毒的吧。

本文的最后，我再寫一些個人感想和建議。

感想：

重裝系統作為最后的手段，效果其實最好。如果不是有什么麻煩的情況的話，不如直接重裝。因為手工殺個把病毒的時間通常超過重裝，而且面臨失敗的危險從而 浪費了寶貴的時間（當然喜歡研究就不一樣了）。必須權衡時間上的利弊，干脆重裝，然后在不點擊盤符的情況下，安裝殺毒軟件后全盤掃描。

備份，還是備份！如果數據珍貴，千萬不可偷懶。刻盤很安全，磁盤的話也要分開放置。所謂真正的數據備份，必然是存儲介質相分離的。

　　建議：

及時打上所有系統必要補丁，使用FF瀏覽網頁，并及時清理臨時文件夾，將大大減少中毒幾率。
平時使用時開一個低權限的用戶，做什么操作使用什么權限，將大大降低中毒后的危害。麻煩和安全通常唱反調~
保持系統精簡高效的運行，將會在最快時間發現中毒癥狀，使破壞和感染都減到最低的同時方便查殺。
備份，再提備份！無論是windows自帶的還原(雖然有點雞肋)還是ghost的快速犀利，甚至是動用veritas等等,總之備份是計算機使用者最好的習慣！