自制病毒专杀工具

病毒为了实现隐蔽入侵的目的，会采用各种手段来伪装自己，来避开杀毒软件的监视。例如，病毒会采用免杀技术来欺骗杀毒软件，进而肆无忌惮地侵入系统。一般来说，杀毒软件对于新型病毒或者免杀病毒的防御功能是比较弱的，当您使用各种分析软件发现病毒的踪迹后，可以针对其制作专杀工具，来弥补杀毒软件的不足，将病毒木马彻底驱逐出去。使用InCtrl5这款小工具，就可以轻松实现上述功能。

图3 InCtrl5主界面

InCtrl5的特点是可以分析目标程序运行前后，对系统造成的所有改动和影响，可以对注册表、系统文件、驱动器等目标进行监控，将完整的系统变动信息保存出来。例如，当您从网上下载了一个软件，怀疑是盗号程序，但是使用某款免费杀毒软件却没有发现端倪，于是就启动InCtrl5，在其主界面（如图3所示）中的“安装程序”栏中点击浏览按钮，选择该可疑程序，在“报告”栏中点击浏览按钮，设置报告文件存储路径。在“跟踪什么”栏中点击“注册表”按钮，在弹出窗口中点击“添加”按钮，输入需要监控的路径。当然，也可以运行注册表编辑器，选中特定的分支，点击“获取键”按钮来导入该注册表路径。在默认状态下监控整个注册表。点击“驱动器”按钮，选择需要监控的磁盘，默认选择所有磁盘，一般来说，选择系统盘即可。点击“INI文件”和“文本文件”按钮，可以添加需要监控的各种配置文件。

点击“开始”按钮，InCtrl5即可对系统进行扫描，拍摄当前系统快照，然后运行目标程序，当该程序运行完毕后，再次扫描系统，创建此时的系统快照。当完成以上操作后，InCtrl5会显示操作完成的提示，在扫描窗口中点击“安装完成”按钮，稍后InCtrl5会自动弹出分析报告窗口，点击“运行”按钮，可以查看详细的检测报告。例如，在其中的“Contents”位置点击“Disk Contents”链接，在“Files added”栏中显示该可疑程序在系统中创建了两个文件，在“Files delete”栏中显示其删除了一个文件，根据提示可以看到其删除的是自身文件。在“Contents”位置点击“Registery”链接，可以查看注册表变化情况，发现该可疑程序在注册表创建了一个启动项。同时创建了一个系统服务。根据以上信息，可以自己动手，编辑一个批处理文件，来清除该可疑程序。