免費安全盛宴：防堵查殺一條龍

　一、不太安分的網路和有備無患的網民

　　身為某公司網路管理員的小許因為偶爾要遠程設置維護公司的伺服器，所以經常隨身帶著他的超輕薄筆記本電腦去一些不便上網的地方，久而久之，小徐就養成了外出攜帶筆記本電腦的習慣。

　　今天，小許又帶著筆記本去一個朋友家聚會，並把筆記本放在一邊給一起來參加聚會的其他朋友上網去了，聚會完畢，小許回到家裡打開筆記本，卻發現機器運行狀況明顯異常了，任務欄上也冒出許多陌生的東西，看來是感染病毒了，他苦笑著用另一台電腦連接網路打開搜索引擎，輸入了「安全工具」進行查找，很快就在一篇安全文章上得知了各種比較流行的安全工具並下載回來，開始用它們配合殲滅這些不請自來的壞客人……

　　這是一個不安分的網路時代，每個網民稍不小心就會受到傷害，同時，網路上也提供了不少用於安全防範的工具，那麼，我們該如何選擇有用的工具，以及利用這些工具來保護自己呢？

　　二、防範，時刻準備著

　　1.殺毒軟體（病毒防火牆）

　　普通用戶對網路安全的理解，無非就是「病毒」、「木馬」，因此即使是第一次買電腦的用戶，大部分也會跟電腦公司的組裝人員再三申明要預裝一個殺毒軟體，而電腦公司也就順手裝個能運行的殺毒軟體草草了事。於是用戶歡天喜地的捧著能「防毒」的電腦回去了。

　　這樣的防護手段真的就有效了嗎？

　　看看那些一般的電腦公司安裝的殺毒軟體，要麼是破解版，要麼是過期版，這些殺毒軟體都具有一個共同點就是無法升級，理解殺毒軟體技術的用戶都清楚：殺毒軟體即使一星期不更新，都有可能查殺不到最新出現的病毒，更何況這些預裝的不知道多少個月前的殺毒軟體？從安全的角度來看，許多用戶已經被這些「預裝殺毒軟體」的做法給「忽悠」了，看看預裝的都是些什麼殺毒軟體吧，電腦公司會說這是最強的瑞星、這是金山毒霸等等，只是他們不會提及版本信息，等到你發現的時候，感覺大概會比吃了一塊已經發霉一星期的蛋糕還要反胃：天啊，這居然是2004年的瑞星……

　　什麼樣的殺毒軟體才是真正有效的呢？不用我說明，大家心裡都會有答案：使用公認質優的品牌，此類防火牆一般具備比較先進的殺毒引擎技術，例如瑞星、卡巴斯基等，而另一點則同樣重要：必須能及時升級，並且該產品的病毒特徵碼是比較全面和有效的，這樣才能盡量防止有漏網之魚。

　　在這個前提下，用戶又會面臨多種選擇，一種是購買收費的殺毒軟體，如國內的瑞星、金山等，對實在是不知道如何使用電腦的用戶而言，這是最有效的路，因為它可以方便及時的升級到最新版本，桌面用戶只需要簡單的點擊幾下滑鼠就能享受安全防護了；而一些廠商的做法是分別針對不同用戶市場推出收費、免費和試用產品，例如卡巴斯基、McAfee等，其個人版是可以免費試用的，並且可以升級，對大部分用戶來說，這些都是難得的免費大餐，於是卡巴斯基迅速佔據了一定市場。

　　這些殺毒軟體的使用都很簡單，它們都提供了實時病毒監控，只要發現可疑文件就會立即彈出來進行攔截，可謂方便至及，可是如果有一天，這場免費大餐不復存在了，我們還能用什麼？如果你是具有一定計算機操作能力的用戶，那就去找免費的自助餐吧。

　　所謂的「免費自助餐」，是指一些殺毒軟體廠商推出的「在線免費查毒」業務，由於它只能查毒，所以一些太過於初級的用戶只能看著它發感慨，但是，難道它就一點實用的性質都沒有嗎？錯，由於「在線」的性質，此類工具的特徵碼資料庫更新是最快的，我們能很方便的利用它來檢查機器感染了什麼病毒，有人會問了，這個功能我們大家都知道了，但是只能查不能殺有什麼意義呢？其實仔細觀察一下就不難發現，在線查毒已經做到了收費殺毒的前兩步：停止正在運行的病毒進程、列出病毒名稱和相應文件，而它沒做到的最後一步，則是刪除受到牽連的文件（木馬後門）或修復受感染的文件（文件型病毒）。

　　說到這裡，有人已經看出來了，只要我們用自己的操作來代替殺毒軟體的自動化操作就能完成整個殺毒過程，這就是「自助殺毒」。

　　那麼我們該如何平常這個免費的自助餐呢？舉個簡單的例子，使用瑞星在線免費線查毒掃描系統，發現感染了灰鴿子病毒，下一步該怎麼做呢？由於如今許多木馬都採取了一定的保護措施，在普通的使用環境里很難清理乾淨，因此最好重啟進入安全模式，然後再用在線查毒功能掃描一下系統，記錄下病毒的相應路徑和文件名如C:\WINDOWS\G_Server.exe，待掃描結束后瀏覽C:\WINDOWS目錄找到G_Server.exe，用Shift+Delete徹底刪除掉這個文件，本次殺毒就完成得差不多了，如果你看不到相應的文件，則說明尚未設置顯示隱藏和系統文件的選項，方法是進入控制面板的「文件夾選項」，點擊「查看」選目卡，把列表裡的「隱藏受保護的操作系統文件」的勾去掉，並把「隱藏文件和文件夾」的狀態選到「顯示所有文件和文件夾」，那些被加了系統和隱藏屬性的文件就能顯示出來了。由於大部分病毒還會改註冊表，因而還需要一些工具的輔助來完成修復，這個在後面會講到。

　　這樣的「手工殺毒」弊端就是無法同時修復註冊表，如果是一般的修改啟動項的木馬，那麼用戶下次開機時可能會看到錯誤提示說「系統找不到指定的模塊」，而如果是修改了文件關聯的木馬，用戶頭就大了：殺個毒回來，什麼可執行文件都打不開了！（其實即使是一部分收費的殺毒軟體殺了這類病毒后也會導致這個問題）

　　這是為什麼？究其原因，這個故障還是Windows系統的特性導致的，在Windows系統里，文件的打開操作是通過註冊表內相應鍵值指定的應用程序來執行的，這個部分位於註冊表的「HKEY_CLASSES_ROOT」主鍵內，當系統收到一個文件名請求時，會以它的後綴名為依據在這裡識別文件類型，進而調用相應的程序打開。而應用程序自身也被視為一個文件，它也屬於一種文件類型，同樣可以用其他方式開啟，只不過Windows設置它的調用程序為「"%1" %*」，讓系統內核理解為「可執行請求」，它就會為使用這種打開方式的文件創建進程，最終文件就被載入執行了，如果有另外的程序更改了這個鍵值，Windows就會調用那個指定的文件來開啟它。一些木馬程序把EXE後綴名對應的exefile類型的「打開方式」改成了「木馬程序 "%1" %*」，運行程序時系統就會先為「木馬程序」創建進程，把緊跟著的文件名作為參數傳遞給它執行，於是在我們看來程序被正常啟動了。然而一旦木馬程序被刪除，Windows就會找不到相應的調用程序，於是正常程序就無法執行了，這就是所謂的「所有程序都無法運行」的情況來源。

　　要恢復這種故障其實很簡單，只需要進入「帶有命令提示符的安全模式」，然後分別執行以下兩個命令就能修復：

　　assoc .exe=exefile

　　ftype exefile="%1" %*

　　國內目前有兩家比較知名的殺毒廠商提供了在線查毒技術，一個是瑞星（http://online.rising.com.cn），另一個則是金山（http://shadu.kingsoft.com），兩家都分別各有千秋，除此之外，金山還提供了免費的金山毒霸下載，用戶只需要簡單的點一下掃描就可以自動清除病毒了。

　　適當而靈活的使用殺毒軟體，能為我們少走許多彎路，至於要不要讓它時刻駐紮在系統托盤區做安全衛士，則是仁者見仁的事情了，對於一部分有安全經驗的用戶來說，一個經過優化設置的系統從來不裝殺毒軟體也不會被病毒糾纏上來，但是我們並不推薦所有用戶都去效仿這個做法。

　　2.網路防火牆

　　在這個網路里，除了病毒木馬帶來的危害，用戶還要面臨另一種威脅，那就是入侵者、各種網路報文攻擊和無處不在的蠕蟲等，由於在這個瘋狂的時代里，簡單易用的網路攻擊工具已經隨處可見了，一不留神一個菜鳥就成了多台機器的入侵者，一不留神你的機器就成了菜鳥試煉場，因此我們不得不使用網路防火牆來保障自己愛機的安全。

　　網路防火牆可分為硬體防火牆和軟體防火牆兩大類，普通個人用戶使用一款比較好的軟體防火牆便已足夠了。

　　軟體防火牆的工作原理是報文檢查和過濾。在沒有軟體防火牆之前，系統和網路介面設備之間的通道是直接的，網路介面設備通過網路驅動程序介面（Network Driver Interface Specification，NDIS）把網路上傳來的各種報文都忠實的交給系統處理，例如一台計算機接收到請求列出機器上所有共享資源的數據報文，NDIS直接把這個報文提交給系統，系統在處理后就會返回相應數據，在某些情況下就會造成信息泄漏。而使用軟體防火牆后，儘管NDIS接收到仍然的是原封不動的數據報文，但是在提交到系統的通道上多了一層防禦機制，所有數據報文都要經過這層機制根據一定的規則判斷處理，只有它認為安全的數據才能到達系統，其他數據則被丟棄。因為有規則提到「列出共享資源的行為是危險的」，因此在防火牆的判斷下，這個報文會被丟棄，這樣一來，系統接收不到報文，則認為什麼事情也沒發生過，也就不會把信息泄漏出去了。傳統意義上的防火牆技術分為三大類，「包過濾」（Packet Filtering）、「應用代理」（Application Proxy）和「狀態監視」（Stateful Inspection），個人計算機上使用最廣泛的就是包過濾技術了，關於防火牆的細節討論請參閱筆者的相關文章，這裡不再贅述。

　　網路防火牆的品牌很多，名堂也多，作為普通用戶，我們應該如何選擇呢？雖然Windows XP里是內置了一個ICF防火牆，但是在所有客觀的防火牆測試里，它的得分都是排最後的，因此我們需要選擇比較實用的防火牆，如果根據世界排名的話，ZoneAlarm和LooknStop還不錯，而國內產品里，金山、瑞星和天網的網路防火牆產品也還是很優秀的。

　　安裝好天網防火牆后，會出現嚮導界面讓你簡單設置防火牆的防禦級別和一些基礎參數，以後更詳細的設置可以雙擊系統托盤區的天網圖標，進到主界面里設置防火牆規則，天網已經提前為我們設置好了滿足一般上網要求的規則列表，我們只需要根據自己的實際環境稍做修改即可，例如區域網用戶就要把與區域網有關的規則選中，而開了網路伺服器的用戶則需要把「禁止所有人連接」方面的規則取消掉。

　　天網防火牆試用版下載地址：【下載】

　　ZoneAlarm防火牆免費下載地址：【下載】

　　3.來自系統策略的防禦

　　Windows系統最大的靈活性在於它為用戶提供的一種個性化設置方案，這個方案被稱為「策略」（Policy），使用策略，管理員可以方便的為不同的用戶和許可權設置系統運行環境，策略又分為「系統策略」（System Policy）和「組策略」（Group Policy），通常我們要設置的都屬於組策略，使用gpedit.msc控制台進入。

　　微軟從Windows XP開始提供了一套內置的免費防火牆系統ICF，但是ICF的表現平平，只能達到勉強防禦網路攻擊的要求，其中一個原因就是因為ICF默認的規則比較少，而且在組策略里的相應設置也未開啟，用戶可以自行通過組策略讓ICF的安全性稍微提高。

　　近來，針對XP的3389入侵又迎來了一番熱潮，原因是市面上許多修改版的XP系統都開放了3389埠，而管理員賬戶Administrator為空密碼，這就相當於系統自帶了「後門」，入侵者可以不費吹灰之力的進入受害者的電腦。而防範的措施就是關閉「遠程協助」功能，然後在「運行」里輸入gpedit.msc，定位到「計算機配置」—「管理模板」—「網路」—「網路連接」—「Windows防火牆」，下面分別是「域配置文件」和「標準配置文件」，只要把裡面的「允許遠程桌面例外」設置為「禁用」就可以了。

　　除了對ICF進行設置以外，Windows NT以上的系統還提供了一種基於IP和埠的安全策略，使用它也能直接達到網路防火牆的作用。

　　首先我們要在網路上下載一個被稱為「WINDOWS最強的安全策略」的文件，裡面是一個以IPSEC為後綴的文件，現在打開控制面板，進入「管理工具」—「本地安全策略」，在「IP安全策略」上點擊滑鼠右鍵選擇「所有任務」—「導入策略」，把下載回來的策略文件添加進去，就會出現一個「常用安全策略禁用不必要的埠」策略，雙擊即可對其進行配置，如果你四區域網用戶，就要取消策略對445、139、137和138埠的封鎖，至此用戶的計算機就能得到比較安全的網路防護了。

　　　三、在和病毒做鬥爭的日子裡

　　雖然上文介紹了如何使用免費查毒功能配合手工方法消滅病毒，可是在實際應用中，一部分用戶會發現病毒沒能徹底殺完，或者殺了病毒以後系統註冊表被篡改的功能依然沒有恢復正常，這是因為一部分私底下交流或經過再次加工的病毒並不能被流行殺毒軟體所察覺，或者引起用戶電腦故障的是流氓軟體和瀏覽器劫持，這種形式的破壞並不屬於殺毒軟體能管的範圍，自然也就無效了，因此我們還需要一套較為完善的安全防範工具大網。

　　1.CurrPorts【下載】告訴我，我的埠在幹什麼？

　　俗話說眼睛是心靈的窗戶，而計算機界里，埠則是計算機與網路溝通的窗戶，除了極少數不需要埠的報文協議，大部分數據傳輸都是建立在埠的基礎上的，所以埠不僅成為用戶和網路連接的門戶，也成為入侵者們翻牆入室的途徑，普通情況下，每個開啟的埠都是由一個程序請求的，用戶要想關閉某個埠，必須讓幕後對應的程序停止運行或暫停某種網路服務的實現方法來達到目的。當我們懷疑機器是否感染了病毒開啟了異常的數據傳輸時，稍有經驗的用戶會執行netstat –an來檢查本機的埠使用情況，但是文字界面能表達的範圍實在有限，很多情況下只能看到機器開了什麼埠，下一步就沒有頭緒了，這個情況逐漸有人著手去解決，於是各式各樣的埠狀態查看工具便誕生了，從最初由文字界面擴展出來的FPorts，到早期的圖形界面Active Ports，到現在小而強大的CurrPorts，普通用戶自己動手檢查木馬已經不再是難題。

　　CurrPorts的界面很簡潔，但是已經包含了大部分實用的功能，包括埠號、IP、對應的進程號、可執行文件名和路徑、埠狀態等，並可以直接從界面上設置進程的優先順序、關閉掉相應的進程或關閉被打開的埠，這個功能使得它在同類產品里獨樹一幟。

　　2.更強大的進程檢查器Process Explorer【下載】

　　許多剛接觸計算機的用戶無法理解「進程」是什麼東西：常常聽到高手說打開任務管理器關閉某某進程，但是一看到任務管理器列表裡的一堆東西，頭就大了。許多用戶知道使用任務管理器關閉一些失去響應的任務，但是如果某個任務沒有在「應用程序」列表裡出現，用戶就不知所措了。到底什麼是「進程」呢？「進程」是指一個可執行文件在運行期間請求系統在內存里開闢給它的數據信息塊，系統通過控制這個數據塊為運行中的程序提供數據交換和決定程序生存期限，任何程序都必須擁有至少一個進程，否則它不被系統承認。進程從某一方面而言就是可執行文件把自身從存儲介質複製在內存中的映像，它通常和某個在磁碟上的文件保持著對應關係，一個完整的進程信息包括很多方面的數據，我們使用進程查看工具看到的「應用程序」選項卡包含的是進程的標題，而「進程」選項卡包含的是進程文件名、進程標識符、佔用內存等，其中「進程文件名」和「進程標識符」是必須掌握的關鍵，「進程標識符」是系統分配給進程內存空間時指定的唯一數字，進程從載入內存到結束運行的期間里這個數字都是保持不變的，而「進程文件名」則是對應著的介質存儲文件名稱，根據「進程文件名」我們就可以找到最初的可執行文件位置。

　　任務管理器的「應用程序」項里列出來的「任務」，是指進程在桌面上顯示出來的窗口對象，例如用戶打開Word 2003撰寫文檔，它的進程「WINWORD.EXE」會創建一個在桌面上顯示的前台窗口，這個窗口就是任務管理器里看得見的「任務」了，而實際上真正在運行的是進程「WINWORD.EXE」。並不是所有的進程都會在任務管理器里留下「任務」的，像QQ、MSN和所有後台程序，它們並不會在任務列表裡出現，但是你會在進程列表裡找到它們，如果要它們在任務列表裡出現該怎麼辦呢？只要讓它們產生一個在桌面上出現的窗體就可以了，隨便打開一個好友聊天，就會發現任務列表裡終於出現了QQ的任務。因此，真正科學的終止程序執行方案是針對「進程」來結束程序的運行，而不是在任務列表裡關閉程序，因為木馬作者們是不會讓自己的木馬在任務列表裡出現的，但是進程列表裡一般人都是逃不過的。

　　雖然Windows系統已經內置了一個任務管理器，可是隨著時代的變遷，它已經顯得力不從心了：首先，它不能顯示完整的程序路徑信息，使得一部分使用障眼法的木馬可以騙過經驗不足的管理員；其次，它內置的模塊保護規則使得一些偽裝成系統核心進程的木馬無法強行終止；再次，它無法提供詳細的進程模塊調用信息，更無法查找某個DLL文件的可執行載體，在這個動不動就來個線程注射的木馬時代，任務管理器成了徹底的睜眼瞎，因此，用戶不得不求助於更強大的第三方工具。

　　而著名的系統安全研究組織Sysinternals出品的Process Explorer，則很好的滿足了這個要求。Process Explorer是一個單獨的綠色EXE，體積稍微大了一些（超過1MB），功能也強大，除了具備任務管理器的一切功能以外，用戶還能用它查看文件句柄和DLL模塊信息、直接以不同用戶許可權執行指定的程序、以不同的顏色顯示各個級別的進程，而它最強大的功能，則是直接查找某個DLL模塊的進程信息！

　　這個功能有什麼用呢？看看木馬進化史，我們會發現其中有一段稱為「遠程線程注射」（RemoteThread Injection）的技術，使用該技術編寫出來的木馬程序並不是自身可執行的EXE，而是一個DLL文件。固然，直接編寫EXE是要比DLL方便得多的，為什麼技術黑客們偏偏要用如此複雜的技術去做一個木馬呢？這是由Windows系統自身特性決定的，Windows自身就是大量使用DLL的系統，許多DLL文件在啟動時便被相關的應用程序載入進內存里執行了，可是有誰在進程里直接看到過某個DLL在運行的？因為系統是把DLL視為一種模塊性質的執行體來調用的，它內部只包含了一堆以函數形式輸出的模塊，也就是說每個DLL都需要由一個用到它的某個函數的EXE來載入，當DLL里的函數執行完畢后就會返回一個運行結果給調用它的EXE，然後DLL進程退出內存結束這次執行過程，這就是標準的DLL運行周期，而採用了「線程注射」技術的DLL則不是這樣，它們自身雖然也是導出函數，但是它們的代碼是具備執行邏輯的，這種模塊就像一個普通EXE，只是它不能直接由自身啟動，而是需要有一個特殊作用的程序（稱為載入者）產生的進程把這個DLL的主體函數載入內存中執行，從而讓它成為一個運行中的木馬程序。了解Windows的用戶都知道，模塊是緊緊依賴於進程的，調用了某個模塊的進程一旦退出執行，其載入的DLL模塊也就被迫終止了，但是在DLL木馬里，這個情況是不會因為最早啟動的EXE被終止而發生的，因為它使用了「遠程線程注射」技術，該技術的目的是讓某個程序的執行代碼進入另一個進程的內存領域，並作為它的一部分來執行，這個技術放到模塊編寫方面，就實現了DLL木馬的「無進程運行」—實際上它還是必須依賴著可執行程序的，它的進程就是該程序的進程，只是它把自身代碼放入了某個系統進程的領域裡，我們自然就無法發現了，這樣的行為就像吸附在鯨魚身上四處遊盪的吸盤生物一樣難以察覺，而且它還有一個可怕的效果：即使用戶發現了這個木馬DLL，也無法把它終止，因為要關閉它就必須在那麼多的系統進程里找到被它注射的進程，並將其終止，對一般用戶來說，這是個不可能完成的任務，而如今，有了Process Explorer提供的「Find Handle or DLL」功能，這個曾經很難完成的任務在彈指間便有了答案。

　　最近比較流行一個被稱為VIPTray的後門程序，已經有技術人士分析了它的相關文件併發布了查殺程序，但是很多用戶發現根本無法查殺徹底，這是因為VIPTray病毒釋放出來的DLL輔助模塊已經插到系統進程里了（一般是Explorer.exe），使用Process Explorer查找WinDefendor.dll即可發現被它注射的進程名，只要把這個進程終止，VIPTray的最後一道防線也就崩潰了，結合一些註冊表清理工作就能把VIPTray徹底趕出系統，所以，面對此類病毒只要了解其防護原理，你就會發現查殺它們並不是難事。

　　3.讓rootkit現身的IceSword【下載】

　　除了傳統意義上的後門和DLL注射形式後門，還有一種後門在威脅用戶的信息安全，那就是rootkit，rootkit是運行在Ring 0內核層的木馬，具有一般進程查看工具無法檢測的特性，要檢測這類木馬就需要同樣運行於Ring0層的進程查看工具，在這方面，國產的IceSword一直是優秀的安全作品。

　　IceSword分別從Ring0和Ring3層獲取進程信息進行比較，由於rootkit會截斷Ring3層的進程信息，兩者自然無法匹配，IceSword等同類工具就是通過這個原理實現了rootkit的檢測，與此同時它還有一套運行於Ring0層的文件和註冊表檢測技術，可以方便發現被rootkit隱藏起來的文件和註冊表項目。

　　IceSword能檢測到大部分系統模塊變動情況，如SSDT、BHO、消息鉤子等，只要簡單的終止並刪除被它標記為紅色的進程和對應的文件就基本清理掉rootkit了。

　　4.追殺流氓的三個火槍手—RogueCleaner、upiea、HijackThis【下載】

　　所謂流氓，就是指各種惡意捆綁軟體，如廣告軟體和惡意劫持軟體等，這些軟體把用戶的機器當成自己的殖民地，不僅篡改用戶的系統環境，還會嚴重拖慢系統速度，甚至讓用戶感染上病毒，在早期由於它們的特殊性質，許多殺毒軟體不敢將其列入病毒範圍查殺，只能任憑用戶到處抱怨和求救，而如今在某家國際知名殺毒廠商吃了螃蟹以後，越來越多的殺毒軟體廠商開始把這些流氓軟體列為病毒來查殺了。

　　由於流氓軟體並非直接危害電腦安全的罪魁，因此一般的殺毒軟體廠商並不會花大功夫去專門清除此類不受歡迎的作品，在這個環境下，真正實用的流氓軟體清理工具便應運而生。

　　首先是專業追殺流氓軟體的RogueCleaner，這是升級得最勤快查殺效率最高的一個小工具，用戶只需要點擊一個按鈕就能清理掉所有市面上叫得出名字的流氓軟體了，當我們使用它清理掉不受歡迎的客人後，就該輪到upiea出場了。

　　Upiea是一個小巧的BHO免疫程序，只需要運行一次就能讓你的系統從此不再受大部分流氓軟體的騷擾，它的原理是在IE的註冊表項目里偽造一個流氓軟體已經安裝的信息，這樣系統就會認為瀏覽器已經有相應的BHO存在，自然就不會再次下載安裝。

　　如果你的電腦不幸被瀏覽器劫持或加入了不希望出現的BHO，使用HijackThis就能迅速還你一個清新的環境，HijackThis嚴格說來是一款手工操作的系統環境檢測修復工具，它的作用面很廣泛，包括系統策略、啟動項、BHO、LSP等項目檢測，但是由於全面而帶來的相對複雜的操作也是令一般用戶頭痛的，HijackThis並不負責自行判斷某個項目是否異常，而是僅僅把它們列出來而已，要修復哪個項目還得用戶自行判斷，但是如果用戶掌握了它的使用，這款利器可一次修復大部分系統故障，包括前面手工殺毒里沒法清理的註冊表殘留項目。

　　5.其他安全工具

　　除了以上幾個比較實用的工具，網路上還流行著許多相關的安全工具，如傻瓜化的黃山IE修復專家等，如果你實在不熟悉HijackThis的手工操作，就用它吧，也能清理大部分系統故障的，只是對於稍有經驗的用戶來說，傻瓜化的工具往往不夠全面罷了。

　　前面我提到過使用Process Explorer消滅模塊形式的木馬，而在一般應用中，許多用戶也會發現一些文件不知為何提示「正在被使用，無法刪除」的信息，這時候如果想找出幕後的調用者，就需要一種特殊工具了，例如Who lock me、Unlocker等，它們會把某個文件正在被什麼進程佔用的信息顯示出來，並且可以直接選擇終止進程釋放這個文件的佔用，就像簡化版的Process Explorer查找DLL功能一樣。

　　四、結束語

　　小許忙碌了1小時，終於在IceSword、Process Explorer、RogueCleaner和瑞星在線免費查毒的配合下把所有病毒清理乾淨了，然後使用Upiea對系統做了免疫（RogueCleaner在查殺時會破壞之前做好的免疫功能），又是一個深夜了，該不該裝個實時監控的殺毒軟體呢？小許看著窗外出神……

　　在這個越來越不安分的網路上，用戶自由活動的空間已經很小了，隨處發生的盜取銀行密碼案、資料加密勒索案、竊取QQ賣錢等黑手每刻都在進行著，而入侵者們之所以能如此猖狂，就是因為用戶缺乏必要的電腦維護經驗和相關安全工具導致，如今的網路再也沒有當初的輕鬆了，雖然入侵技術的提高能促進安全技術的發展，但是這場戰役中，無數普通網民都是技術的受害者，難道，是這個時代的人心都不再純潔了嗎？

謝謝樓主這篇教材說的真好.