計算機感染病毒后通常會出現一些容易發覺的異常表現行為，如計算機啟動速度慢、程序運行卡頓、文件損壞或丟失以及出現間歇性斷網等。通過計算機行為的異常表現，然后反推問題的根源，再通過適當的殺毒方法進行病毒清除。下面是一個服務器出現異常的案例：筆者打開服務器時異常卡頓，打開任務管理發現svchost運行程序占用CPU資源達到99%以上，嚴重影響了服務器的運行，這是病毒的一種典型表現。

　　1病毒特征分析

　　1.1Svchost進程分析

　　Svchost.exe是Windows操作系統中的核心進程文件，從動態鏈接庫(DynamicLinklibrary，DLL)中加載的通用主機進程,該進程是系統運行的基礎進程之一，且不能被中止(3)。因為svchost.exe是一個基礎進程，可以訪問很多系統資源和文件，所以svchost.exe非常容易被病毒所利用。被病毒利用之后，系統常會彈出svchost.exe錯誤，當然svchost.exe病毒也有不少專殺工具。很多木馬程序喜歡偽裝成這個服務程序來逃過查殺。為進一步確認，筆者通過資源管理器觀察了一下這個進程的更多屬性，發現了更多異常之處。

　　1.2怪異的命令行參數

　　該進程是通過一串命令啟動起來。具體命令是:svchost-ogulf.moneroocean.stream:10001-uxxxxx–do⁃nate-level=1

　　1.3可疑的管理員賬戶

　　經查證，進程svchost.exe的啟動用戶是Administrator，是這臺計算機的超級管理員。windows默認的系統管理員賬號是預留出來的，系統默認情況下隱藏這個賬號，除非在計算機上沒有其他賬號可用。超級用戶只能有一個，但進一步查看Admin⁃istrator的文件夾，居然有兩個，這說明服務器存在病毒，需要我們進一步深入分析。

　　2解密

　　2.1參數的含義

　　參數中的gulf.moneroocean.stream看起來是個域名，嘗試訪問之后，發現是門羅幣的網站，那么該病毒極有可能與門羅幣有關。Monero中文翻譯成門羅幣，是區款連比特幣的一種。參數合起來的意思是:通過gulf.moneroocean.stream服務器從事挖礦活動，將受益放到賬戶為xxxxx的錢包地址當中，受益的1%捐贈給這個木馬的開發人員。

　　2.2真假賬戶

　　至于真假賬號的問題，我們猜想可能是某一個賬號采用了特殊字符，而windows文件系統無法正常顯示這個字符，于是看起來和真正的administrator是一樣的。為了證實這一點，我們把兩個文件夾的名字拷貝到notepad++里，果然原形畢露了。有一個賬戶用的A其實是希臘字符的A，在windows下看起來和A一模一樣。如果不夠細心的話，很容易認為這個進程就是Administrator起來的，進而容易誤判它為系統進程，達到魚目混珠的目的。

　　3手動查殺病毒

　　手動殺毒不會像殺毒軟件那樣，受病毒庫大小的制約，特別是對于那些新病毒，手動殺毒技術明顯優于使用殺毒軟件進行殺毒(5)。其次，手動殺毒技術的人工參與性質決定了它擁有充分的靈活性，這是作為計算機程序的殺毒軟件無法比擬的。手動殺毒技術能夠跟蹤單個病毒運行、了解病毒習性，從而在滅殺病毒后完美修復曾被起破壞的系統。通過分析，可以確認這就是門羅幣的挖礦木馬病毒，從任務管理器將它直接關掉是很簡單的事，但是難保他憑借什么觸發器再啟動起來，所以需要找到它的啟動位置并把它徹底刪除才是根本的解決辦法。手動殺毒一般應從幾方面入手：1)查內存，排查可疑進程。目的是為了將病毒從內存中清除掉。2)查啟動項，刪除病毒啟動項。3)通過病毒啟動項判斷病毒所在位置，從根本上刪除病毒。4)修復系統，常見的病毒會對系統部分損壞，必須對損壞的文件或系統進行修復。首先，為了保證操作的流暢性，我們先將資源占用率降下來。通過資源管理器只給這個進程分配1個CPU，使之最大CPU占用率不超過25%，這樣我們的手動操作就變得無比流暢。其次，為了找到這個可執行程序的地址，需要在資源管理器增加路徑一欄PATH，可以獲取路徑。這里采用了Powershell來獲取可執行文件的物理地址。通過powershell的命令，我們得出病毒可執行文件的物理地址為:c:windowsfontssessvhost.exe。不僅隱藏在系統目錄，而且在偽裝成windows的字體文件。但是用這個地址實際上也是不存在的。用資源管理器找不到這個地址，直接在地址欄輸入地址也不行。經過一番查證，這種情況是因為病毒已經被操作系統標記為系統文件，并加以隱藏，所以用戶的資源管理器是無法訪問到的。需要使用dos命令來訪問該目錄。果然通過dos命令是可以進入到這個文件夾內部，但是卻查看不到任何文件。通過dos，在dir命令后面加個參數/ah，就可以讓病毒原形畢露。接下來用copy命令將這個程序拷貝出來，就可以發現他的真身了。注意copy命令仍然要增加參數/h，否則拷貝一樣會失敗的。隨后就是關閉進程，再使用del命令將病毒刪除即可。至此，此次服務器中毒事件已完美解決，沒有系統損壞及文件丟失。

　　4工具軟件的使用

　　4.1PowerShell的使用方法技巧

　　隨著微軟對Win10系統的不斷升級，內置的默認命令行工具也逐漸從Cmd遷移到了PowerShell。WindowsPowerShell作為新一代的命令行自動化管理工具，因其簡潔高效成為眾多管理員喜愛的工具，也是微軟推薦的管理工具。(6)但須注意，PowerShell與Cmd各自的資源占用情況不同。當我們運行Cmd時，大概只需占用不到1M的內存，幾乎可以忽略不計。而使用PowerShell時，需要占用大約20M的內存，兩者幾乎相差40~50倍。因此，如果你的電腦比較老舊，性能較低，使用Cmd無疑可以獲得更高的流暢性。如果電腦配置較高，用PowerShell是一個不錯的選擇，功能強大，效率高。

　　4.2Notepadd++顯示特殊字符

　　Notepad++是Windows操作系統下的一套文本編輯器，有完整的中文化接口及支持多國語言編寫的功能(UTF8編碼)。功能比Windows中的Notepad(記事本)強大，除了可以用來制作一般的純文字說明文件，也十分適合編寫計算機程序代碼。Notepad++不僅有語法高亮度顯示，也有語法折疊功能，并且支持宏以及擴充基本功能的外掛模組。

　　4.3通過任務管理器顯示進程的參數，并限制其資源使用量Windows

　　任務管理器提供了有關計算機性能的信息，并顯示了計算機上所運行的程序和進程的詳細信息;如果連接到網絡，那么還可以查看網絡狀態并迅速了解網絡是如何工作的。它的用戶界面提供了文件、選項、查看、窗口、關機、幫助等六大菜單項，其下還有應用程序、進程、性能、聯網、用戶等五個標簽頁，窗口底部則是狀態欄，從這里可以查看到當前系統的進程數、CPU使用比率。

　　5經驗與收獲

　　本次殺毒行動使我們受益匪淺。不管是知識運用上，還是工具的使用上，都是一次很重要的嘗試，也驗證了我們的技術水平。現將用到的知識和工具列出如下:1)Notepadd++顯示特殊字符。利用本命令，將文本內容考入Notepad++，就能將真實的文本內容顯示出來。從而識別出病毒文件。2)通過任務管理器顯示進程的參數，并限制其資源使用量。通過任務管理器能的參數設置，改變CUP的使用狀況。通過powershell獲取進程的可執行程序地址。3)通過命令拷貝顯示/操作隱藏的系統文件，有些Dos命令加上特殊的參數，能起到事半功倍的作用。總而言之，手動殺毒技術需要很高的操作系統功底，對于網絡管理員是一種應該掌握的技能，對于一般的使用人員應慎重使用。手動殺毒能夠深入自動殺毒軟件所不能涉及的死角，在殺毒軟件無法發揮作用或者已經被病毒破壞的情況下，及時發現病毒并成功獵殺病毒，盡可能保護計算機系統，減少損失，采用應急手段的方法之一。基本的計算機安全維護還是要靠防火墻，殺毒軟件，殺木馬軟件來完成保護。

　　參考文獻：

　　[1]賴英旭，劉思宇.計算機病毒與防范技術(第二版)[M].清華大學出版社,2019.

　　[2]韓筱卿,王建鋒,鐘瑋.計算機病毒分析與防范大全[M].北京:電子工業出版社,2008.

　　[4]劉滋,王點,王斌.區塊鏈隱私保護技術[J].計算機與設計,2019(6).

　　[5]蔡劍鋒.基于新理念的殺毒軟件[J].信息安全與通信保密,2006,4(9):142-144.

　　[6](道·瓊斯)WindowsPowerShell.實戰指南(第2版)[M].人民郵電出版社.

　　《手動清除計算機病毒案例分析》來源：《電腦知識與技術》，作者:馬振偉