对于高级用户和反病毒工作者,还有两点要注意的地方:
1.某些更厉害的木马、病毒,甚至一些安全监控软件,都以rootkit的形式以内核状态运行,受到操作系统保护,上面的第2步修改时,winhex会报错而无法修改。这时,选择“options”->"Edit Modes",在阅读了自动弹出的帮助提示后,在“select Mode”对话框中选择“In-Place Mode...”,这样将使winhex进入绕开操作系统直接写硬盘扇区的模式,如图8所示。此后再修改任何文件,包括windows运行所必须的文件时,都不会报错了。但是,正如winhex的帮助文件所提到的,这种操作危险性极大,操作不当,甚至可以直接导致操作系统崩溃。
图8
2.winhex还可以在木马正在运行的条件下对隐藏的木马程序进行采样,以便于以后的跟踪和分析。右键单击木马文件名,选择“Recover/Copy..”,再在弹出的对话框中确定准备将木马存放的目录,就可以在不破坏木马完整性的情况下对其进行采样了,如图9所示。
图9
更多内容请看PCdog.com--病毒/木马/蠕虫 系统解决方案 系统木马专题
