計算機感染病毒后通常會出現(xiàn)一些容易發(fā)覺的異常表現(xiàn)行為，如計算機啟動速度慢、程序運行卡頓、文件損壞或丟失以及出現(xiàn)間歇性斷網(wǎng)等。通過計算機行為的異常表現(xiàn)，然后反推問題的根源，再通過適當?shù)臍⒍痉椒ㄟM行病毒清除。下面是一個服務(wù)器出現(xiàn)異常的案例：筆者打開服務(wù)器時異常卡頓，打開任務(wù)管理發(fā)現(xiàn)svchost運行程序占用CPU資源達到99%以上，嚴重影響了服務(wù)器的運行，這是病毒的一種典型表現(xiàn)。

　　1病毒特征分析

　　1.1Svchost進程分析

　　Svchost.exe是Windows操作系統(tǒng)中的核心進程文件，從動態(tài)鏈接庫(DynamicLinklibrary，DLL)中加載的通用主機進程,該進程是系統(tǒng)運行的基礎(chǔ)進程之一，且不能被中止(3)。因為svchost.exe是一個基礎(chǔ)進程，可以訪問很多系統(tǒng)資源和文件，所以svchost.exe非常容易被病毒所利用。被病毒利用之后，系統(tǒng)常會彈出svchost.exe錯誤，當然svchost.exe病毒也有不少專殺工具。很多木馬程序喜歡偽裝成這個服務(wù)程序來逃過查殺。為進一步確認，筆者通過資源管理器觀察了一下這個進程的更多屬性，發(fā)現(xiàn)了更多異常之處。

　　1.2怪異的命令行參數(shù)

　　該進程是通過一串命令啟動起來。具體命令是:svchost-ogulf.moneroocean.stream:10001-uxxxxx–do⁃nate-level=1

　　1.3可疑的管理員賬戶

　　經(jīng)查證，進程svchost.exe的啟動用戶是Administrator，是這臺計算機的超級管理員。windows默認的系統(tǒng)管理員賬號是預(yù)留出來的，系統(tǒng)默認情況下隱藏這個賬號，除非在計算機上沒有其他賬號可用。超級用戶只能有一個，但進一步查看Admin⁃istrator的文件夾，居然有兩個，這說明服務(wù)器存在病毒，需要我們進一步深入分析。

　　2解密

　　2.1參數(shù)的含義

　　參數(shù)中的gulf.moneroocean.stream看起來是個域名，嘗試訪問之后，發(fā)現(xiàn)是門羅幣的網(wǎng)站，那么該病毒極有可能與門羅幣有關(guān)。Monero中文翻譯成門羅幣，是區(qū)款連比特幣的一種。參數(shù)合起來的意思是:通過gulf.moneroocean.stream服務(wù)器從事挖礦活動，將受益放到賬戶為xxxxx的錢包地址當中，受益的1%捐贈給這個木馬的開發(fā)人員。

　　2.2真假賬戶

　　至于真假賬號的問題，我們猜想可能是某一個賬號采用了特殊字符，而windows文件系統(tǒng)無法正常顯示這個字符，于是看起來和真正的administrator是一樣的。為了證實這一點，我們把兩個文件夾的名字拷貝到notepad++里，果然原形畢露了。有一個賬戶用的A其實是希臘字符的A，在windows下看起來和A一模一樣。如果不夠細心的話，很容易認為這個進程就是Administrator起來的，進而容易誤判它為系統(tǒng)進程，達到魚目混珠的目的。

　　3手動查殺病毒

　　手動殺毒不會像殺毒軟件那樣，受病毒庫大小的制約，特別是對于那些新病毒，手動殺毒技術(shù)明顯優(yōu)于使用殺毒軟件進行殺毒(5)。其次，手動殺毒技術(shù)的人工參與性質(zhì)決定了它擁有充分的靈活性，這是作為計算機程序的殺毒軟件無法比擬的。手動殺毒技術(shù)能夠跟蹤單個病毒運行、了解病毒習(xí)性，從而在滅殺病毒后完美修復(fù)曾被起破壞的系統(tǒng)。通過分析，可以確認這就是門羅幣的挖礦木馬病毒，從任務(wù)管理器將它直接關(guān)掉是很簡單的事，但是難保他憑借什么觸發(fā)器再啟動起來，所以需要找到它的啟動位置并把它徹底刪除才是根本的解決辦法。手動殺毒一般應(yīng)從幾方面入手：1)查內(nèi)存，排查可疑進程。目的是為了將病毒從內(nèi)存中清除掉。2)查啟動項，刪除病毒啟動項。3)通過病毒啟動項判斷病毒所在位置，從根本上刪除病毒。4)修復(fù)系統(tǒng)，常見的病毒會對系統(tǒng)部分損壞，必須對損壞的文件或系統(tǒng)進行修復(fù)。首先，為了保證操作的流暢性，我們先將資源占用率降下來。通過資源管理器只給這個進程分配1個CPU，使之最大CPU占用率不超過25%，這樣我們的手動操作就變得無比流暢。其次，為了找到這個可執(zhí)行程序的地址，需要在資源管理器增加路徑一欄PATH，可以獲取路徑。這里采用了Powershell來獲取可執(zhí)行文件的物理地址。通過powershell的命令，我們得出病毒可執(zhí)行文件的物理地址為:c:windowsfontssessvhost.exe。不僅隱藏在系統(tǒng)目錄，而且在偽裝成windows的字體文件。但是用這個地址實際上也是不存在的。用資源管理器找不到這個地址，直接在地址欄輸入地址也不行。經(jīng)過一番查證，這種情況是因為病毒已經(jīng)被操作系統(tǒng)標記為系統(tǒng)文件，并加以隱藏，所以用戶的資源管理器是無法訪問到的。需要使用dos命令來訪問該目錄。果然通過dos命令是可以進入到這個文件夾內(nèi)部，但是卻查看不到任何文件。通過dos，在dir命令后面加個參數(shù)/ah，就可以讓病毒原形畢露。接下來用copy命令將這個程序拷貝出來，就可以發(fā)現(xiàn)他的真身了。注意copy命令仍然要增加參數(shù)/h，否則拷貝一樣會失敗的。隨后就是關(guān)閉進程，再使用del命令將病毒刪除即可。至此，此次服務(wù)器中毒事件已完美解決，沒有系統(tǒng)損壞及文件丟失。

　　4工具軟件的使用

　　4.1PowerShell的使用方法技巧

　　隨著微軟對Win10系統(tǒng)的不斷升級，內(nèi)置的默認命令行工具也逐漸從Cmd遷移到了PowerShell。WindowsPowerShell作為新一代的命令行自動化管理工具，因其簡潔高效成為眾多管理員喜愛的工具，也是微軟推薦的管理工具。(6)但須注意，PowerShell與Cmd各自的資源占用情況不同。當我們運行Cmd時，大概只需占用不到1M的內(nèi)存，幾乎可以忽略不計。而使用PowerShell時，需要占用大約20M的內(nèi)存，兩者幾乎相差40~50倍。因此，如果你的電腦比較老舊，性能較低，使用Cmd無疑可以獲得更高的流暢性。如果電腦配置較高，用PowerShell是一個不錯的選擇，功能強大，效率高。

　　4.2Notepadd++顯示特殊字符

　　Notepad++是Windows操作系統(tǒng)下的一套文本編輯器，有完整的中文化接口及支持多國語言編寫的功能(UTF8編碼)。功能比Windows中的Notepad(記事本)強大，除了可以用來制作一般的純文字說明文件，也十分適合編寫計算機程序代碼。Notepad++不僅有語法高亮度顯示，也有語法折疊功能，并且支持宏以及擴充基本功能的外掛模組。

　　4.3通過任務(wù)管理器顯示進程的參數(shù)，并限制其資源使用量Windows

　　任務(wù)管理器提供了有關(guān)計算機性能的信息，并顯示了計算機上所運行的程序和進程的詳細信息;如果連接到網(wǎng)絡(luò)，那么還可以查看網(wǎng)絡(luò)狀態(tài)并迅速了解網(wǎng)絡(luò)是如何工作的。它的用戶界面提供了文件、選項、查看、窗口、關(guān)機、幫助等六大菜單項，其下還有應(yīng)用程序、進程、性能、聯(lián)網(wǎng)、用戶等五個標簽頁，窗口底部則是狀態(tài)欄，從這里可以查看到當前系統(tǒng)的進程數(shù)、CPU使用比率。

　　5經(jīng)驗與收獲

　　本次殺毒行動使我們受益匪淺。不管是知識運用上，還是工具的使用上，都是一次很重要的嘗試，也驗證了我們的技術(shù)水平。現(xiàn)將用到的知識和工具列出如下:1)Notepadd++顯示特殊字符。利用本命令，將文本內(nèi)容考入Notepad++，就能將真實的文本內(nèi)容顯示出來。從而識別出病毒文件。2)通過任務(wù)管理器顯示進程的參數(shù)，并限制其資源使用量。通過任務(wù)管理器能的參數(shù)設(shè)置，改變CUP的使用狀況。通過powershell獲取進程的可執(zhí)行程序地址。3)通過命令拷貝顯示/操作隱藏的系統(tǒng)文件，有些Dos命令加上特殊的參數(shù)，能起到事半功倍的作用。總而言之，手動殺毒技術(shù)需要很高的操作系統(tǒng)功底，對于網(wǎng)絡(luò)管理員是一種應(yīng)該掌握的技能，對于一般的使用人員應(yīng)慎重使用。手動殺毒能夠深入自動殺毒軟件所不能涉及的死角，在殺毒軟件無法發(fā)揮作用或者已經(jīng)被病毒破壞的情況下，及時發(fā)現(xiàn)病毒并成功獵殺病毒，盡可能保護計算機系統(tǒng)，減少損失，采用應(yīng)急手段的方法之一。基本的計算機安全維護還是要靠防火墻，殺毒軟件，殺木馬軟件來完成保護。

　　參考文獻：

　　[1]賴英旭，劉思宇.計算機病毒與防范技術(shù)(第二版)[M].清華大學(xué)出版社,2019.

　　[2]韓筱卿,王建鋒,鐘瑋.計算機病毒分析與防范大全[M].北京:電子工業(yè)出版社,2008.

　　[4]劉滋,王點,王斌.區(qū)塊鏈隱私保護技術(shù)[J].計算機與設(shè)計,2019(6).

　　[5]蔡劍鋒.基于新理念的殺毒軟件[J].信息安全與通信保密,2006,4(9):142-144.

　　[6](道·瓊斯)WindowsPowerShell.實戰(zhàn)指南(第2版)[M].人民郵電出版社.

　　《手動清除計算機病毒案例分析》來源：《電腦知識與技術(shù)》，作者:馬振偉