如发现有乱码，请点击下面链接浏览原文
正文摘录:

菜鸟玩转反病毒现在的病毒数量是越来越多，技术也是越来越先进，杀毒软件也只好是天天升级，疲于应付。而绝大部分的电脑用户都只是一些电脑水平不高的个人用户，碰到病毒就束手无策了。今天，我就带大家一起从菜鸟快速升级到对抗病毒的老鸟。我们需要进行以下的准备活动，首先在系统中安装一个vMwARE，然后在这个VMwARE中再安装一个XP系统以供测试使用，关于虚拟机VMwARE的详细使用大家可以参考以前杂志的相关文章(使用虚拟机是为了避免病毒破坏我们的系统)。另外我们要用到的工具还有REGsNAP(系统快照工具)、ICESw0RD(冰刃，查杀病毒木马常用的辅助工具)。启动我们的虚拟机，把REGSANP安装好，再给刚安装完成的XP系统做一个快照，这样做的目的是即使在虚拟系统里运行了病毒，以后只要恢复快照就可以回到没中病毒前的状况。我们查杀病毒的思路是这样的，病毒可以理解为一个恶意的程序，和系统中很多的软件一样也是程序，只不过它们都带有恶意的功能或是一定的破坏作用(盗取用户密码，控[G—AVR]Greys‘lgrl好了，我们可以开始运行病毒了。运行之后我们再做一个快照，然后再跟之前的快照进行对比，就可以知道病毒对你的系统做了什么修改。我们以Tr0一ian—DownloadeI·.Win32.Agent.bmo病毒为例，从病毒的名字上可以得知它是一个下载者木马，也就是会连接网络然后下载木马并运行。这个病毒被运行后，过一小段时间它就会开始下载木马并自动运行，假如你在虚拟系统里安装了HIPs软件就会知道它下载运行了没有，因为它运行的时候AD会报警，这时我们就会知道它下载好了。我们再来打开REGSNAP，选择“文件”～一“比较”，然后选择好之前做好的快照和运行以后做的快照，点确定(图2)。对比完了后就可以得到一份快照报告，包括注册表新增、删除、修改的项目和键值记录，文件新增、修改、删除的记录。我们需要从中剔除一些多余的信息，把病毒修改的重点项目列出表来(图3是我复制出来的注册表启动项列表)。现在我们进入安全模式，然后打开注册表删除刚才我们列表里的启动项目，恢复病毒修改的注册表，使用冰刃删除新建的文件就可以了，总之我们就是按照对比的快照记录还原系统的本来面目。至此就杀毒完毕，你可以重新启动，看看启动项目和病毒文件还在不在来确认杀毒是否完成。你也可以把病毒行为记录分析发布到网上去，让别人手工杀毒的时候可以做个参考，很多写行为记录的人都是通过快照对比的方式来记录。只要大家熟练掌握其中技巧，你也可以很轻松的成为杀毒老手的。(本文所涉及到的~EGSNAP和冰刃已收录到光盘中)墨