明察秋毫，解決病毒及后遺癥

　　木馬、病毒等的橫行，催生了許多安全工具，這類(lèi)工具的功能雖然主要是針對安全威脅的，但合理利用，在解決系統故障方面同樣能大展手腳。
　　解決無(wú)法運行的軟件
　　有不少人遇到過(guò)某款軟件總是無(wú)法運行的故障，即使重裝軟件也無(wú)法解決。觀(guān)察硬盤(pán)指示燈，明明看到在讀取數據，打開(kāi)任務(wù)管理器也能看到軟件進(jìn)程。出現這種奇怪的情況，很有可能是Windows的映像劫持功能“IFEO”（Image File Execution Options）在作祟。
　　想要解決這一問(wèn)題，這里推薦使用PowerTool。PowerTool成功運行后，就會(huì )對當前系統的安全性進(jìn)行分析掃描，一旦發(fā)現有問(wèn)題的內容后就會(huì )用紅色進(jìn)行顯示（圖1）。比如我們這里已經(jīng)顯示出映像劫持有問(wèn)題，那么點(diǎn)擊軟件窗口中的“應用層”標簽，接下來(lái)再點(diǎn)擊下面的“鏡像劫持”子標簽。這樣就可以在列表中顯示出所有的映像劫持內容，選中這些項后，右擊，選擇右鍵菜單中的“修復”按鈕（圖2）。當重新啟動(dòng)系統后，被劫持的軟件即可正常運行了。

登錄/注冊后可看大圖

登錄/注冊后可看大圖

　　小提示：
　　★由于PowerTool這類(lèi)的軟件需要滲入到系統的底層，所以在運行的時(shí)候會(huì )加載一些驅動(dòng)文件，因此建議大家不要將文件解壓到含有中文信息的文件夾中運行。另外在運行該軟件之前，最好重新啟動(dòng)一次系統，這樣可以更好地使用該軟件的功能（圖3）。還有需要注意的是，一定要選擇和系統對應的版本，比如32位的系統就運行32位的版本。如果不注意以上幾點(diǎn)的話(huà)，那么在軟件運行后很可能出現藍屏的情況。

登錄/注冊后可看大圖

　　★很多病毒在進(jìn)行映像劫持后，被劫持的軟件進(jìn)程會(huì )自動(dòng)跳轉到病毒文件。而我們通過(guò)右鍵菜單中的“修復以及刪除關(guān)聯(lián)文件”命令，就可以在操作的同時(shí)將病毒文件也刪除掉。
　　查找危險的進(jìn)程
　　要想了解Windows系統當前的運行狀況，查看當前的進(jìn)程是非常重要的途徑。但是通過(guò)任務(wù)管理器進(jìn)行查看的話(huà)，并不能了解到所有進(jìn)程的實(shí)際情況。因為有的進(jìn)程被電腦病毒等進(jìn)行了隱藏，而有的則是利用了線(xiàn)程插入技術(shù)，借用其它的進(jìn)程完成操作。如何才可以更好地查看和管理這些進(jìn)程信息呢？
　　點(diǎn)擊PowerTool窗口中的“進(jìn)程管理”標簽，就可以對系統中的進(jìn)程進(jìn)行分析判斷。為了方便普通用戶(hù)的查看，軟件通過(guò)不同的顏色來(lái)區分不同的進(jìn)程信息。比如黑色代表Windows系統自身的進(jìn)程，而藍色則代表第三方軟件的進(jìn)程。除此以外，通過(guò)進(jìn)程列表中的“進(jìn)程類(lèi)型”選項，就可以進(jìn)一步顯示出進(jìn)程的相關(guān)介紹。如果這里沒(méi)有任何顯示的話(huà)，那么自然就是重點(diǎn)關(guān)注的項目。當我們選擇一個(gè)進(jìn)程以后，點(diǎn)擊鼠標右鍵選擇菜單中的命令，就可以對其進(jìn)行管理操作。如果用戶(hù)對某個(gè)進(jìn)程有懷疑的話(huà)，點(diǎn)擊“上傳到Virustotal進(jìn)行病毒掃描”命令，就可以對進(jìn)程對應文件的安全性進(jìn)行分析（圖4）。如果發(fā)現該進(jìn)程的確是有問(wèn)題，那么點(diǎn)擊“結束進(jìn)程”命令可關(guān)閉該進(jìn)程。

登錄/注冊后可看大圖

　　紅色則是被進(jìn)行線(xiàn)程插入的進(jìn)程，也是需要用戶(hù)重點(diǎn)關(guān)注的進(jìn)程信息。當用戶(hù)用左鍵選擇一個(gè)進(jìn)程后，在窗口下方的“模塊”列表中，就可以顯示出所有的模塊信息。同樣點(diǎn)擊鼠標右鍵可以對模塊文件進(jìn)行管理，比如點(diǎn)擊“檢測數字簽名”命令，就可以查看數字簽名的真實(shí)性。如果發(fā)現數字簽名有問(wèn)題的話(huà)，不要直接對進(jìn)程進(jìn)行關(guān)閉操作。因為這些插入的進(jìn)程往往是系統進(jìn)程，如果直接結束進(jìn)程的話(huà)，就會(huì )出現系統藍屏的情況。我們可以在選擇模塊文件后，單擊右鍵菜單選擇“普通卸載模塊并刪除模塊文件”命令，就可以在解除模塊和進(jìn)程的關(guān)聯(lián)后刪除相關(guān)的模塊文件（圖5）。

登錄/注冊后可看大圖

　　修復引導區
　　當系統出現問(wèn)題后，許多人可能會(huì )選擇重裝系統。但是讓人疑惑的是，不少剛剛安裝的操作系統就有病毒，再次重裝還是如此。出現這一現象可能有兩種情況導致，首先就是系統里面的程序文件被感染，當用戶(hù)再次運行被感染的程序后，操作系統被重新感染。其次就是病毒的源頭并不在系統中，而是在磁盤(pán)的引導區中。這樣在電腦啟動(dòng)的時(shí)候，隱藏在引導區中的病毒就會(huì )被再次感染系統。要想對第二種情況進(jìn)行防范，只能對磁盤(pán)的引導區進(jìn)行修復才行。
　　點(diǎn)擊PowerTool操作窗口中的“系統修復”標簽，在出現的新窗口里面選擇“主引導記錄（MBR）”子標簽。如果用戶(hù)只安裝了一塊硬盤(pán)的話(huà)，那么直接點(diǎn)擊窗口下方的“檢測”按鈕，軟件開(kāi)始對磁盤(pán)的引導區進(jìn)行分析處理。如果用戶(hù)使用的是雙硬盤(pán)的話(huà)，那么首先在磁盤(pán)列表中選擇引導區所在的硬盤(pán)，然后再點(diǎn)擊“檢測”按鈕對引導區進(jìn)行檢查。
　　當引導區檢測完成后，PowerTool會(huì )給出一個(gè)詳細的報告，并且用不同的顏色表示出安全狀況（圖6）。比如引導區已經(jīng)被病毒進(jìn)行破壞，那么就會(huì )用紅色顯示出“檢測到惡意代碼（MBR Rootkit）”這樣的提示。接著(zhù)點(diǎn)擊窗口下方的“自動(dòng)修復MBR”按鈕，這時(shí)軟件會(huì )彈出一個(gè)提示窗口，點(diǎn)擊“是”按鈕就開(kāi)始進(jìn)行引導區的恢復，同時(shí)也就是進(jìn)行引導區病毒的清除了。

登錄/注冊后可看大圖

　　恢復被鎖定的注冊表
　　不少病毒對系統的破壞，是在注冊表中完成的。為了避免用戶(hù)對篡改內容的修復，有些病毒會(huì )對注冊表進(jìn)行鎖定，造成我們無(wú)法編輯注冊表。
　　大部分所謂的對注冊表的鎖定，就是禁止用戶(hù)使用Regedit編輯器。不過(guò)網(wǎng)上有很多第三方的注冊表編輯器，其實(shí)PowerTool中也有類(lèi)似的編輯器功能。在PowerTool中切換到“注冊表”標簽，在“重要的注冊表項”里面輸入HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem，再點(diǎn)擊“快速跳轉”按鈕就可以找到鎖定注冊表的位置。然后在右側窗口里面找到DisableRegistryTools項，點(diǎn)擊鼠標右鍵選擇“刪除”命令后重新啟動(dòng)系統（圖7）。這樣就可以重新使用系統的Regedit編輯器進(jìn)行操作了。

登錄/注冊后可看大圖

　　小提示：
　　在“系統檢測”標簽中點(diǎn)擊“一鍵修復”按鈕，可以對常見(jiàn)的篡改項目進(jìn)行快速修復。
　　　　　　　　　　

---