如今,編制病毒和木馬的技術門檻變得越來越低,在Vista完全普及以前,人們在Win2000/XP/2003系統上還是主要依靠殺毒軟件來進行保護。但是,反病毒廠商有限的病毒工程師在遍及全球的病毒製造者面前疲於奔命的現實,注定了部分小規模流行的病毒和木馬將成為“漏網之魚”。當殺毒軟件面對病毒噤若寒蟬、或者乾脆就被木馬關閉的時候;當單位計算機上存放有重要數據,不能輕易格式化硬盤並重裝系統的時候,怎麼辦?
其實,平時常用的工具軟件---winhex,完全可以提供強大的對抗病毒/木馬的能力。 WinHex平時主要用於16進制數據編輯,它也可以用來檢查和修復各種文件、恢復刪除文件等。它的強大之處在於,可以讓你看到存儲介質上的所有文件和數據,包括FAT32/NTFS文件系統的配置文件。最關鍵的是,它具有直接讀寫硬盤扇區的能力,並在高級安全選項中,可以選擇繞開操作系統的進程保護,直接修改進程在磁盤上的的扇區數據。實際上,這個技術和目前市面上許多殺毒軟件廠商採用的“底層粉碎頑固 rootkit”的原理是一樣的。
下面,我以一次實際的反病毒案例為大家詳細介紹如何巧妙運用winhex的強大功能.(版本不限,筆者用的是14.8版)
一台部門的數據服務器,無意中連接到了某電影下載網站,網站主頁惡意掛馬並運行腳本,導致數分鐘內,該數據服務器連續連接數個地址並下載和運行了10幾個木馬程序,而後自動重啟。觀察註冊表發現,控制自動運行的“run”鍵和“AppInit_DLLs”下已經被塞滿各類木馬
