现在很多恶性病毒需要借助专杀工具进行查杀,但是有些病毒却会主动禁止专杀工具运行。对这些固执的病毒,我们常常要借助其他系统(如DOS或PE)来查杀。实际上,专杀工具就是一个能删除病毒文件的批处理文件,懂得和编写起来并不难。本文带大家深入认识并编写专杀工具,在系统启动时就能直接进入杀毒菜单、专杀病毒。
一、 针对windows xp系统用户
对于这类系统用户,我们可以借助Vfloppy等虚拟软驱软件为windows xp添加DOS杀毒系统,然后借助DOS下的主动批处理文件(Autoexec.bat)即可轻松清除病毒。这里以主动清除机器狗病毒为例。 第一步:到网上查找机器狗病毒信息,根据病毒特点制作批处理文件或者直接下载网友制作好的批处理文件。比如,机器狗病毒专杀可以到http://hi.baidu.com/%D0%C2%C9%FA%BA%DA%BF%CD/blog/item/4274eef44b0645ea7709d7ec.html获取专杀批处理文件。 第二步:启动记事本,输入下列代码,保存为kill.bat,放置在D盘根目录(Rem语句是注释,无须输入)。
Rem 去除病毒文件的暗藏、只读、系统属性
attrib -h -r -s C:\WINDOWS\IGM.exe
rem 删除指定病毒文件
del C:\WINDOWS\IGM.exe
rem 在源地位建立和病毒文件同名的目录,防止病毒复发
md C:\WINDOWS\IGM.exe
注意:为了叙述方便,批处理中仅仅以删除其中一个病毒文件C:\WINDOWS\IGM.exe为例,删除其他病毒文件的命令请参照上述格式添加。 第三步:下载Vfloppy,下载解压后运行Vfloppy.exe,映像文件选择解压目录下的“bookdisk.img”文件,显示文本为“DOS主动杀毒”,其它采用默认设置,最后单击“利用”,程序提示领导映像文件成功,此时不要选择重新启动并退出Vfloppy。 第四步:现在修正Bootdisk.img中的批处理文件即可实现启动杀毒。到http://winimage.com/winima70g.exe下载winimage。运行WinImage后单击“文件→打开”,打开C:\boot\bootdisk.img,然后在文件列表选中“AUTOEXEC.BAT”,右击它选择“展开”,将AUTOEXEC.BAT释放到d:\。 第五步:用记事本打开d:\autoexec.bat,找到“echo The diagnostic tools were successfully loaded to drive %RAMD%.”这行,然后在“echo.”下添加下面一行内容:call d:\kill.bat 提示:上述命令的作用是在DOS完整启动后,调用制作好的批处理文件kill.bat主动删除病毒。 第六步:再次运行WinImage打开C:\boot\bootdisk.img,单击“映像→添加”,按提示添加修正过的AUTOEXEC.BAT文件,程序提示是否笼罩时,单击“是”,然后保存bootdisk.img并退出程序。通过修正AUTOEXEC.BAT,实现启动到DOS后主动调用专杀批处理文件删除病毒的目标。如果下次碰到其他病毒,只要修正d:\kill.bat中的代码即可实现新的专杀功效。 二、 Windows Vista系统用户 由于Windows Vista应用NTFS分区,在DOS下是无法访问的,所以我们无法应用上述方法来实现主动杀毒。但是,我们还可以借助Windows PE2.0(以下简称为PE)来实现主动杀毒。 第一步:制作专杀批处理文件并保存为d:\kill.bat,由于Windows下的命令行支撑更多参数,我们的代码更改如下:
attrib -h -r -s C:\WINDOWS\IGM.exe
rem 无须确认直接删除病毒文件
del /f/q/s C:\WINDOWS\IGM.exe
md C:\WINDOWS\IGM.exe
rem 杀毒完成后主动重启
shutdown -r
第二步:下载PE。解压得到一个ISO文件,再应用WinRAR把全部文件解压到d:\PE。 第三步:下载WimTool,把下载到的WimTool解压,以管理员身份运行其中的“WimTool运行库.exe”,接着同样以管理员身份运行WimTool,单击“浏览”,选择要解开的Wim文件d:\ pe\sources\boot.wim,选择要解开的目标文件夹选择d:\PE1(D要为NTFS分区)。勾选映像卷号下所有选项,单击“挂载映像”。 第四步:系统会主动挂载boot.wim文件,应用记事本程序打开“d:\pe\windows\system32\peshell.ini”文件,在[AutoRun]字段结尾添加如下代码,代码的意思是在加载完PE外壳后主动运行kill.bat主动删除带毒文件。