现下由于黑客技术的快速发展,各种病毒木马,间谍程序蠕虫等呈现泛滥的趋势,严重威胁着单机和局域网的安全,通常方法是安装各种杀毒软件和防火墙软件,不清楚系统的恶意程序,不过病毒等恶意程序的发展速度是很快的,即使用户不断地升级病毒库也未必能及时发现最新的病毒,有时候我们通过一些安全软件,能够发现潜伏到系统中的可疑程序,但是当试图手工删除这些可疑程序时,系统却提示无法删除文件,也删不了的难产文件,通常情况下,只有记下文件的路径,利用启动型光盘,或者利用各类工具将软件三盘等移动储存器制成引导盘,领导系统进入DOS环境手工进行删除操作。如果系统是NTFS分区,那在DOS还得使用NTFSdos来手工删除,对于一些黑客初学者来说,这样的操作显得非常麻烦,如果这些可疑的文件是具有破坏力的病毒等恶意程序时,不及时将其删除,会造成严重的后果。在windows9X时代,可以在系统文件夹里windows.ini文件中加入特殊指令,在系统启动前删除文件。
windows2000/XP为主流的今天,如何能够抢在系统启动前将其删除呢!接下来就要说到我们今天给大家介绍的一款不错的工具Unlocker,他能在文件被系统锁定的情况下,依然可以对文件进行删除,移动改名等操作。要删除潜伏在系统中的恶意程序,就必须能够发现恶意程序的行踪,在这里我也可以给大家推荐一款目前非常实用的防火墙,就是瑞星防火墙2006。将Unlocker瑞星防火墙2006联合使用,那么潜伏到系统中的恶意程序就无容身之地了。
现在的病毒等恶意程序往往设计得非常狡猾,常常利用进程注入,修改注册表启动项,将自身注册成系统服务,实现和特定文件类型的关联,在系统BOOT全加载等技术来隐藏自己。而瑞星防火墙2006具有全面管理启动项功能,能让微程序的上述伪装暴露无遗。我们以灰鸽子和Beast为具体案例,来说明如何利用瑞星防火墙2006发现其行踪。木马Beast运行后,通常会在注册表启动项中加入启动程序,然后将木马程序注入到系统竟成温斗士系统中,实现隐藏运行,灰鸽子只有一个主程序G-SERVER.EXE,并且将自身注册成系统服务。打开瑞星防火墙2006主窗口在启动选项面板中能查看利用注册表启动项,系统服务文件关联以前加载等技术启动的程序信息。实际上在该面板中点击右键菜单,在弹出菜单中还可以选择包括驱动资源管理插件,ie浏览器插件,登陆通知项等等许多和启动项相关的显示内容,默认情况下,隐藏经过微软和瑞星签名的程序信息。
Unlocker都使用很简单,在资源管理器中选中文件或者文件夹,在弹出的菜单上选择Unlocker即可。,先在资源管理器中点击菜单工具文件夹选项,在文件夹选项窗口的查看面板中勾选显示隐藏文件夹和文件。利用Unlocker删除可疑文件有三种情况,对于没有运行的或者已经运行,但是没有注入到其他进程中的可疑文件在该文件的右键菜单上点击Unlocker会自动弹出对话框,提示用户当前选定的文件没有处于锁定状态,在动作列表中,可以选择无动作删除,重命名移动等操作,如果选择删除操作,点击确认后,该文件就立即被停止运行,然后就直接被删除。如果选择在命名操作,同样也会弹出对话框,可以输入文件的新名称文件随后被中止运行,然后将其改名。如果选择移动操作,同样也会弹出一个文件夹选择窗口,目标文件夹确定后就会将文件终止运行,并将其移动到指定文件夹中。对于已经运行并注入到系统进程中的可疑程序,例如木马的启动程序以及它的核心文件,我们可以在Unlocker检测到有关的系统进程调用了哪些文件,在处理窗口会列出可疑文件的宿主进程,在进程列表中选中这些文件进程,然后在动作列表中选择删除项,Unlocker会自动终结进程,并对它进行删除。如果涉及到系统核心进程,再将它结束后,会让电脑重启。