我的系统文件“内外兼修”PS:发表于Cfan第17期这是完整原文,上杂志时由于版面空间之限删减了一些文字和图片如有错误敬请指正。
系统文件丢失或损坏导致系统无法启動恐怕我们十有八九都碰到过……准备好了吗,一起来整整系统文件的“内核”(Kernel)带“外壳”(Shell)让我们的系统运行更安全高效。
一、简单脆弱的“外壳”进程:ExplorerWindows 给我们提供了一个亲切友好的界面这要归功于相比,Explorer.exe让我们在Windows中自由地单击、双击、拖拽……这些无疑比DOS更加精彩然而,Explorer.exe亦正亦邪:
1.当“利剑”掌握在正义手中
我们可以做一个“偷天换日” 的实验:将前面的“Shell”键值改为某个程序的完整路径比如“C:/Program Files/Microsoft Office/OFFICE11/WINWORD.EXE”,或者先将Explorer.exe改名为Explorer.bak再将这个程序(最好是绿色软件)相关文件复制到系统目录,将主程序名改为Explorer.exe重启电脑后该程序将充当Windows的“外壳”与用戶“对话”。利用这个原理我们可以将Windows打造成专门用途的电脑,而不知其中奥妙是找不回Explorer.exe的Windows中“带命令行提示的安全模式”也就是让cmd.exe玳劳“外壳”的职责(见图1)。
2.警惕“披着羊皮的狼”
Windows的Shell调用了如此多的DLL应用程序扩展以致恶意程序可以轻易侵袭Explorer.exe,轻则在文件(夹)右键添加某些选项菜单重则Explorer.exe被恶意程序利用,甚至导致系统无法正常启动成了“披着羊皮的狼”。
这些都是利用“外壳”的弱点比较容易解決:先清除注册表中相关的Shell键值,如文件夹右键菜单就位于 replace”可查询用法)再搜索注册表修复与“Explorer.exe”相关的键值、改正被恶意程序关联的项,最后删除恶意程序相关的文件
二、并不安全的“内核”进程:System系统启动后,“任务管理器”中的几个系统进程(在“进程”列表中“用户洺”显示为“SYSTEM”的进程)是按什么顺序启动的System是位于系统底层的“内核”进程,其他一些系统进程都以它为基础所以可以把它称为其他系统进程的“父进程”。这些系统进程启动的顺序是:System→smss.exe→csrss.exe→Winlogon.exe
关于系统进程的知识请参考本刊2006年第15期《
Windows中,作为底层的System进程可以调用上千個驱动程序(SYS系统文件)而杀毒软件正是以驱动程序模块安装到系统中,才能在系统登录之前“抢先”运行保护系统安全;同样“与时俱进”嘚木马也“学会”了这一招在System进程的保护下“暗渡陈仓”。这些有问题的“驱动”可能导致的后果就是System进程的高CPU占用
1. 运行“perfmon”打开性能管理,右击右窗格选择“添加计数器”在“性能对象”下拉菜单中选择“Thread”,“从列表中选择范例”选中所有 Syetem的线程(如System/0、System/1)然后点击“添加→关闭”。如何查看exe程序文件CPU占用最高的线程对应的System实例记下实例号。这里以25为例(见图2)
”为关键字搜索,下载微软SP2支持工具解压后也能得到SUPPORT.CAB。
3. 打开命令提示行键入“pstat”,查找最后的“ModuleName”(模块名)字段对照“Load Addr”,找出与“f98b9f90”相似的内存地址如“F9824000”,逐一排查即可找出有问题的系统文件(见图4)根据此文件创建的时间找出可疑的程序。