有的放矢 清除病毒

使用WhatChange、Install Watch等软件，也可以监控可疑程序运行，分析其具体行为。这里就以小巧精悍的WhatChanged为例进行简单说明。例如，在使用某个注册程序时，为了安全起见，先在虚拟机中启动WhatChanged，在其主界面（如图2所示）中的“扫描对象”栏中勾选所有的项目，对注册表以及文件系统列入扫描范围。点击“抓取系统快照”按钮，对系统进行全面扫描，拍摄当前状态的系统快照，之后在虚拟机中运行该可疑程序，运行完毕后，在WhatChanged主界面中点击“查看自从上次快照以来的更改内容”按钮，WhatChanged可以对您系统进行再次扫描，并将扫描信息与上次创建的快照进行比对分析，来发现该程序对系统所做的所有更改信息。

之后在桌面上会创建 以“WhatChanged_Snapshot2”开头的文件，其中包括文件变动记录文件、注册表变动记录文件等，对其进行浏览，可以得到该可疑程序在系统中建立、修改、删除的文件列表，以及对注册表的修改信息，对其进行分析后，发现其在“C:Windows”文 件 夹中创建了名为“sys32”的文件夹，在其中存放了一些恶意文件，其中有个名为“explorer.exe”的 文 件，明显是冒称系统外壳文件的。此外，还在注册表添加了启动项，让不法程序可以跟随系统运行。了解了这些，可以看待该注册程序其实就是一个木马程序，其中捆绑了一些可疑文件并进行了免杀处理。在WhatChanged主界面中勾选“复制已修改的文件到目录”项，可以将所有发生变动的文件复制到指定的目录中，便于对其进行进一步分析。

图2 WhatChanged运行界面