Rootkit病毒可以欺骗我们的操作系统,让任务管理器、资源管理器以及注册表编辑器呈现出一种假象,而这种假象正是Rootkit所希望我们看到的。举个例子,一个病毒想要隐藏自己,如果给自己设定为隐藏属性,这样很容易发现,怎么样才能不容易被发现呢?那就是使用rootkit技术,当资源管理器发出显示所有文件的命令时,rootkit病毒会捕获这个信息,返回给资源管理器一个假的信息,而资源管理器将这个信息以图形界面显示出来就是显示了除该病毒以外的所有其他文件。Rootkit病毒在注册表编辑器、任务管理器隐藏自己的原理类似。 为了抵御Rootkit病毒,KV2007的系统监控提供了一整套反Rootkit工具,其中包括:进程查看器、查找被病毒隐藏的文件和查找被隐藏的注册表项。下面就具体介绍下如何使用这三种工具。 KV的进程查看器有两种方法打开,一种是从右下角工具栏红K处,点击鼠标右键,选择【系统监控】,再选择【进程查看器】。另外一种就是从主界面打开:打开KV主界面,点【工具】,再选择【进程查看器】。两种打开方法分别如图1和图2:
打开进程查看器后我们可以以列表格式看到当前的进程信息,包括进程名、进程标识、用户、CPU占用量、认证、个人标记、进程文件路径、开发厂商、文件说明以及版本信息。如图3:
如果windows自带的任务管理器里的进程数与KV进程查看器里的进程数不相同,则需要警惕了,系统很可能已经感染了rootkit病毒。如图4与图5:
图4中windows自带的任务管理器中显示仅有30个进程,而KV进程查看器中进程数为31个,将两幅图对比后发现存在一个named.exe,则此进程很可能是rootkit病毒隐藏的进程。为了探明其到底是否为病毒,KV已经为我们提供了很方便的方法进行查看。在该进程上单击鼠标右键,选择【模块信息】,即打开该进程的模块信息列表,如图6:
黄色加亮部分为进程查看器已验证的正常模块,为了便于我们查看,我们选择【隐藏标记为Microsoft的模块】,这样只剩下非Microsoft模块,如图7:
这时我们可以选择两到三个有代表性的模块,在该模块上点鼠标邮件,选择【另存为】,将该模块另存到桌面。建议不要另为.bin格式,另存时源文件是什么格式就保存为什么格式。然后打开web浏览器,输入网址
http://scanner.virus.org,打开该网页。如图8:
这是由virus.org提供的免费多引擎病毒扫描服务,我们只需要点击【浏览】,将刚才另存在桌面上的文件找到,再点击【Upload Now】按钮,稍等约1分钟,virus.org就会帮我们使用多种杀软的扫描引擎帮我们扫描该文件是否为病毒。这里我上传的named.exe经扫描为正常文件,并非病毒。如图9:
