如何檢測出電腦上的間諜軟件
如何檢測出電腦上的間諜軟件
檢測出電腦上的間諜軟件方法:
1.在使用某種商業(yè)軟件或免費軟件的工具檢查之前,盡可能的將機器清理干凈。運行防病毒軟件或反間諜軟件掃描,一旦發(fā)現(xiàn)一些異常的項目立即清除。有關(guān)這一主題的內(nèi)容在網(wǎng)絡(luò)上有許多。需要注意的是,在進入下一步之前,專家們強烈建議使用并運行一種以上的殺毒、反間諜軟件掃描以便達到徹底清理。
2.建立一個檢查點或者對系統(tǒng)作備份。如果使用的是Windows XP,那再方便不過了,這樣很快就能建立一個系統(tǒng)恢復(fù)點(依次打開:開始菜單――幫助和支持――使用系統(tǒng)還原恢復(fù)對系統(tǒng)的改變,然后點擊創(chuàng)建一個還原點的按鈕)。當(dāng)然還有其他的方法(對于那些使用Windows家族其他操作系統(tǒng)的人來說是唯一的方法)就是創(chuàng)建一整套系統(tǒng)的備份,包括系統(tǒng)狀態(tài)信息(如果其他辦法都不可行的話,可以使用NTBackup.exe文件;他包含了所有Windows新版本的信息)。這樣的話,萬一在接下來的步驟中出了差錯,還可以將系統(tǒng)恢復(fù)到前一個正確的狀態(tài)。
3.關(guān)閉所有不必要的應(yīng)用程序。一些反間諜軟件從電腦運行的所有線程和注冊表中查找不正常跡象,因此先退出所有應(yīng)用程序再啟動反間諜程序運行檢查,可以節(jié)省大量時間。
4.運行反間諜程序。在這一步,使用Hijack This這個軟件。將下載回來的Zip文件解壓到你想要的目錄,然后雙擊HijackThis.exe這個執(zhí)行文件,會跳出一個帶有提示“Do a system scan and save a logfile.”的窗口。默認狀態(tài)下,日志文件會保存在“我的文檔”中,在保存的日志文件名稱中加入日期和時間信息很有用,這樣的話,一個名為hijackthis.log的文件就改名為hijackthis-yymmdd:hh.mm.log(hh.mm是24小時制的幾點幾分)。這樣的話,以后任何時候再次運行Hijack This(一旦開始運行,會自動清空以前的日志),都不必擔(dān)心丟失以前的日志。因此,時間標記不愧是個很好的方法,這對將來的日志文件分析非常有用。
5.查看Hijack This結(jié)果窗口中顯示的掃描結(jié)果。這個結(jié)果與寫入日志文件的信息是相同的,并且會發(fā)現(xiàn)在每一個項目的左邊都有一個復(fù)選框。如果核選了某些項目,按下“Fix Checked“按鈕, Hijack This就可以將其徹底清除了。會發(fā)現(xiàn)在那里有很多看上去秘密的文件,可以對其進行快速掃描,以決定在這時采取何種操作。實際上,真正存在的問題是識別出哪些文件具有潛在的威脅,哪些是必須的,而哪些是無關(guān)緊要的。此時分析工具能夠幫上我們的大忙。記住,現(xiàn)在不要關(guān)閉Hijack This的查找結(jié)果窗口,也不需要進行核選操作,因為在接下來的步驟中還會返回這個窗口。
6.用Hijack This的日志分析程序運行日志文件。可以使用Help2Go Detective或者Hijack This Analysis這兩個分析工具中的一個。在Hijack This日志里,會發(fā)現(xiàn)每一個入侵(線程)的特殊信息和相關(guān)處理建議,包括哪些可以保留,哪些可以刪除(但卻是無害的),哪些是可疑文件(或許應(yīng)該刪除,但是還需要進一步分析研究),以及哪些必須刪除(因為確定是惡意病毒)。這時,可疑檢查所有被確認為惡意病毒的選項,或者與已知的間諜軟件和廣告軟件有關(guān)的選項。
7.檢查可疑項目(包括可選的激活項目)。有時可以查看注冊表名稱或者相關(guān)文件和目錄信息,來檢查即使通過分析程序(使用Hijack This很明顯發(fā)現(xiàn)的)也沒有識別出的項目,這是可能是故意安裝或使用的程序的一部分。這些項目經(jīng)常會被單獨的遺留下來。如果檢查程序和人為的都沒有發(fā)現(xiàn)這些項目,安全選項就會將備份然后刪除(然而如果采取了這個步驟,那么要挽救這種狀況只有存儲一份備份文件或者返回到前一個恢復(fù)狀態(tài)。)如果想知道在查看的是什么文件,就進入下一個附加步驟,用google或其他搜索工具搜索項目的名稱。在99%的情況下都可以在兩分鐘或更少時間內(nèi)作出批準與否的決定。只有一少部分項目,最顯著的是dll文件不僅僅需要通過文件名的搜索驗證來裁留。
8.在Hijack This結(jié)果窗口核選有害文件和不確定的可疑項目,然后按下“Fix checked”按鈕。也可以在結(jié)果窗口中滾動查看項目,并通過單擊來高亮選擇單獨的項目,接著通過點擊"Info on selected item…."(選中項目的信息……)來獲取這些項目的額外信息。這時來查看這些信息比在上一步驟查看更合適,因為這時分析工具的速度更快而且面向?qū)ο蟾押谩?/p>
9.重啟系統(tǒng)查看運行情況。如果系有統(tǒng)運行不正?,F(xiàn)象,如應(yīng)用程序不工作或變得異常,或者系統(tǒng)看上去不太對勁時,需要決定是否需要返回到恢復(fù)狀態(tài)或備份狀態(tài)。如果Windows不能完成啟動,在系統(tǒng)啟動之初按下F8鍵,直到啟動進入安全啟動菜單,選擇最后一次正確的配置。這樣啟動就沒有問題了,系統(tǒng)啟動之后還需要退回到恢復(fù)點,或者恢復(fù)到在第二步備份的狀態(tài)。如果接收這個選項的話,就不需要保存改動了,可以直接越過第10步。
10.最后再運行依次Hijack This掃描:重復(fù)步驟4,但是需要注意更改保存日志文件的日期標簽??梢話呙杞Y(jié)果來確定移動的項目已經(jīng)被徹底清除,或者只需保存電腦狀態(tài)的快照,快速清除就可以了(這樣會對下一次進行同樣的操作產(chǎn)生一個有意義的參照狀態(tài))。