快照曝光病毒

NOD 32虽然具有强悍的扫描杀毒功能，不过病毒也不甘于束手就擒，会采取各种手段来避开NOD 32的追捕，以更加隐蔽的方式在系统中潜伏下来。

因此，仅仅依靠NOD 32的检测功能，有可能使其漏网。为此，可以使用NOD 32提供的快照功能，让狡猾的病毒彻底现出原形。

在NOD 32主界面中的工具界面中点击“ESET SysInsoector”项，在弹出窗口中点击“创建”按钮，输入其注释信息，点击“添加”按钮，NOD 32即可对系统进行全面扫描，将记录的信息保存在快照文件中。

有了快照，如何发现狡猾的病毒呢?方法有两个，其一是配合NOD 32的日志功能来使用，NOD 32提供的日志内容较多，信息庞杂不理理解，为此可以在工具界面中点击“日志文件”项，在日志窗口显示所有的日志信息。点击“过滤器”按钮，在弹出窗口的“记录类型”列表中只选择“关键”项，点击确定按钮，来获得真正需要关注的安全信息。在ESET SysInspector窗口中双击目标快照项目，对系统进行扫描检测，在弹出窗口（如图8所示）中显示所有的检测项目，包括进程、网络连接、变动的注册表项、驱动程序、关键文件等。在“过滤”栏中拖动滑块，将其移动到中间的位置，来获得真正有价值的检测信息。根据在日志文件中获得关键信息，在“查找”栏中输入相关内容，在检测信息中执行搜索操作，就可以有效的找到可疑信息，进而发现病毒文件的踪迹。这样就可以有得放矢将其清除了。

图8 显示所有检测项目

另外一种检测方法是执行对比操作，在系统处于正常状态时，创建一个快照文件，在系统出现问题后再创建一个快照文件，在ESET SysInspector窗口同时选择这两个快照项目，点击“比较”按钮，对其进行深度对比分析，在报告窗口中显示比较后的检测信息，这样所有的变动信息全部被统计出来，在“过滤”栏中拖动滑块，将其移动到中间的位置，就可以过滤掉无关的信息，让可疑的信息显现出来，据此可以很轻松地发现病毒的踪迹。