病毒专杀工具　你也可以做

痛并快乐着

今天还没有走进办公室，就听见里面激烈的讨论声。仔细一听，原来大家在讨论昨晚的电视节目。一个同事见我进了办公室，马上凑过来问：“昨晚你看电视没有？里面讲了很多泄露个人信息的电脑病毒事件。”另一个同事感叹道：“现在的电脑病毒真可谓‘江山代有才人出，各领风骚数百年。前不久流行‘猫癣下载者，最近又流行‘死牛下载者……，弄得杀毒软件都来不及查杀了。”我听了，不解地回道：“没这么难吧？杀毒软件暂时杀不了的病毒，我们可以自己做一个专杀工具来杀啊！”

获得本机安全报告

此言一出，几位同事用诧异加怀疑的眼光看着我，我哈哈大笑：“不要以为病毒专杀工具只有专业人员才做得出来，其实我们只需要利用一个制作软件，在它上面填写相关病毒的信息后，就可以生成针对此病毒的专杀工具了。哈哈，是不是非常简单啊？”有同事马上问道：“这个……要填写的病毒信息你上哪儿去找？”我答道：“这个好办，用安全软件System Repair Engineer（以下简称SREng）统计一个本机的安全报告就行了。”

我从网上下载了最新版本的SREng。由于它是绿色软件，所以下载到硬盘后解压就可以开始进行系统检测了。首先点击SREng主窗口左边工具栏中的“智能扫描”按钮，接着在右侧窗口里选中所有的选项，包括所有的启动项目、正在运行的进程、浏览器加载项和Autorun.inf等。特别强调，最好勾选“检查进程模块的数字签名”选项，这样可以非常方便地区分病毒信息和正常信息（如图1）。然后点击“扫描”按钮，SREng开始对所有选项进行扫描。扫描完成以后点击“保存报告”按钮，将安全报告保存到一个文本文件中。

分析安全报告找病毒

当我打开这份安全报告以后，各位同事连连喊晕，因为报告中的内容实在是晦涩难懂（如图2）。

我急忙向大家解释：“ 大家不要晕头，用《SREngLog分析助手》这款小软件就能看懂了。”运行《SREngLog分析助手》，先通过“文件导入”按钮导入安全报告的文本文件。然后点击“读取分析”按钮，安全报告中的内容就分类显示在各个标签页里，这样我就可以逐项进行分析和判断了。

这时我突然想起一件事，于是对大家说道：“我的这台电脑昨天中了‘死牛下载者病毒，还没彻底清除掉，所以现在我就做这个病毒的专杀工具吧！”在《SREngLog分析助手》的“自启动项目”标签页中，我发现一个可疑的SafeSys.exe启动项，并看到系统中几乎所有的安全软件都被映像劫持了（如图3，即列表中那些标注为IFEO的项目）。一个同事问道：“SafeSys.exe这个文件看上去是非常可疑，但怎样才能确定它就是你所说的病毒呢？”我回道：“上网查呀！在可疑条目上点击鼠标右键，选择菜单中的‘百度搜索文件或‘Google搜索文件命令。在搜索结果中，建议先看别人写的安全报告，确认其是否和自己安全报告中的信息一样，然后再看其他人的回复信息等，这样就快就查明真相了。”

接着，我切换到“其他修复”标签页，在“AutoRun项目”中可以看到磁盘分区根目录里AutuRun.inf文件中的代码信息。从这些代码可以得知，在每个磁盘分区根目录下都存在病毒文件SafeSys.exe和AutuRun.inf（如图4）。我对同事说道：“有效信息不一定能够完全分析出来，譬如病毒会破坏系统的安全模式，或会对局域网进行ARP攻击等。对这些破坏行为进行修复，是我在后面编写专杀工具时必须要考虑的。”

制作病毒专杀工具

现在是“万事俱备，只欠东风”。我下载了AntiVirusEngineer（以下简称AVEng），它是一款专为反病毒爱好者提供的专杀工具制作软件。普通用户只需要修改AVEng配置文件virus.ini中的内容，就可以快速制作出专业的病毒专杀工具。由于该软件采用了独特的病毒清理和系统修复引擎，因而能够快速准确地清理病毒并修复系统中常见的故障。

我用“记事本”打开配置文件virus.ini，发现它其实是一个INF脚本文件。其代码分成几个段落，分别是软件介绍、删除文件、注册表删除和系统修复等。由于每段代码都有详细的解释，所以身边的几位同事也看了个八九不离十。

[INF]

Title=死牛病毒专杀工具山寨版

Name=死牛病毒专杀工具山寨版

Version=090401

Killer=我爱应用文摘

Log=FALSE

Copyright=专杀提供: 我爱应用文摘 h t t p : / / w w w .pcdigest.com/

Description=####该病毒会导致大量安全软件运行失败；会下载大量盗号木马到用户计算机来盗取用户账号信息。@@# 本软件适用于检测清除死牛病毒。@@#

[/INF]

上面这段代码用于设置专杀工具的相关信息，包括窗口标题（Title）、专杀工具名称（Name）、专杀工具作者（Killer）、界面底部版权信息（Copyright ）等。这些信息都可以根据自己的喜好随意填写。

[VIR]

%Progra%Common FilesSafeSys.exe

c:SafeSys.exe

c:AutuRun.inf

d:SafeSys.exe

d:AutuRun.inf

[/VIR]

以上代码用于设置本机中病毒文件的路径信息，病毒专杀工具就是根据这些路径来删除病毒文件的（注：%Progra%代表系统默认的软件安装路径，如C:Program Files）。

[REG]

%regdel%HKEY_LOCAL_MACHINESOFTWARE

MicrosoftWindowsCurrentVersionRunSafeSys

[/REG]

以上代码主要是用于清理指定的注册表项目或键值，其中当代码行末以“”结束时，表示删除该项及其子项。不过上面的这段代码只是删除病毒的启动键SafeSys。

[COR]

IFEO=TRUE

ASSOC=FALSE

HOSTS=FALSE

WINSHELL=TRUE

[/COR]

这段代码主要是对指定的系统项目进行修复操作，包括IFEO映像劫持（IFEO）、文件关联（ASSOC）、hosts文件（HOSTS）和Windows Shell（WINSHELL）修复。其中要修复的写TRUE，不修复的写FALSE。所有的代码填写或修改完毕以后，保存退出。运行AVEng，就能生成针对“死牛下载者”病毒的专杀工具了！打开这个EXE文件格式的病毒专杀工具，点击其“开始扫描”按钮，即可进行病毒查杀和系统修复（如图5）。不一会儿，我电脑中的“死牛下载者”病毒就清除干净了。

同事们在看了我的操作之后，纷纷感叹道：“没想到杀个病毒这么简单”、“原来我也可以当杀毒高手哟”、“太好了，我也写一些病毒专杀工具放在自己的博客上，太有成就感了”……编后语：本文主要介绍手工制作病毒专杀工具的方法，文中涉及的病毒截止发稿之日，主流的杀毒软件都能够查杀了。