另类方法找木马

　　木马虽疯狂，但对付它的方法也有多种，我认为最好的方法是能自己掌握查杀木马的方法。下面用一个实例介绍一种利用系统本身自带的“程序安装事件记录文件”查找木马的方法，希望起到抛砖引玉的作用(该方法只适用Windows 2000/XP/2003)。

　　“程序安装事件记录文件”的文件名是SETUPAPI.LOG，根据你的系统所在分区不同，在Windows或WINNT目录下，这个文件记录的是机器安装硬件和软件的信息，不管是否安装成功，它都会把这些动作记录在案。由于这些记录很详细，所以文件体积大、内容繁杂。不过只要细心，有耐性，你也会成为逮“马”的高手。以下是我的电脑被感染木马后，截取SETUPAPI.LOG的部分内容。

　　[2004/11/10 14:01:54 180.1]

　　#-198 处理的命令行: "E:Program FilesInternet Exploreriexplore.exe"　-nohome

　　#-024 正在将文件 "E:Documents and SettingsAdministratorLocal SettingsTemporary Internet FilesContent.IE5UVE9O9O5icyfox[1].exe" 复制到 "E:WindowsDownloaded Program Files#.exe"。

　　#W361 一个未经过签名、签名不正确或 Authenticode(TM) 签名的文件 "E:Documents and SettingsAdministratorLocal SettingsTemporary Internet FilesContent.IE5UVE9O9O5icyfox[1].exe" 将得到安装(策略=忽略)。 错误 87: 参数不正确。

　　从这些片断中不难看出， 该病毒是通过IE进来的，到达IE临时文件夹后再复制到了IE默认的下载文件夹下进行安装。整个过程都是通过一个脚本文件完成的，包括它自动运行。

　　此木马在系统中的进程名是HWS.EXE，文件存放在Windows的系统文件夹下。通过文件时间可以看出与SETUPAPI.LOG记录的时间相吻合。它在系统中运行后，IE和注册表被改，而且无法再打开“注册表编辑器”，也无法再导入注册表文件，最后利用工具才解除了注册表禁用，可不一会又回到了原来的状态。种种迹象表明，HWS.EXE不是一个正常的进程。

　　之后，先在“任务管理器”中将HWS.EXE终止，然后在系统文件夹下删除HWS.EXE文件，再用工具修复IE和注册表，终于把此“马”赶出了系统。

　　这个木马是以进程方式在系统中运行，相对比较容易被发现。而对于一些插入进程的木马，就要在SETUPAPI.LOG文件中搜索调用系统注册服务的命令REGSVR32.EXE了。

　　以上我说了利用SETUPAPI.LOG文件查找木马的过程。其实它还有很多有用的地方，如查找软件和硬件故障也大有用武之地。