前几天朋友打电话给我，说是电脑中毒了，杀毒软件无法打开，即使打开了也马上会被关闭，让我过去帮他看一下。我当时估计朋友的电脑是中了这段时间非常流行的AutoRun类型的病毒，于是心里有了底，而正好现在“瑞星杀毒软件2008”版处于公测阶段，杀毒软件免费提供给用户试用。嘿嘿，有免费的杀毒软件干吗不用，免费的午餐不是时时都有的。再说现在“瑞星杀毒软件2008”版加入了很多新技术，帐号保险柜可以充分保护我们帐号的安全，特别是类似于SSM的HIPS主动防御技术，让系统的安全性得到了提高，普通用户也可以像专业病毒分析师一样，通过瑞星的主动防御技术来分析未知病毒的行为，从而更好的查杀未知病毒，杀毒软件也不再像以前那样可以被病毒轻而易举的干掉，在检测恶意行为方面也有了长足的进步，总的来说，“瑞星杀毒软件2008”版较以前的版本有了质的飞跃，是一款不可多得，家居必备的杀毒软件。有了它，拥有一个安全、稳定的系统将不再是梦想。好了，废话不多说，让我们看看瑞星在带毒环境下，全面查杀AutoRun病毒的过程吧！注：这次查杀完全依靠“瑞星杀毒软件2008”版本身，并没有利用SRE与冰刃工具帮忙。
    到了朋友那，发现朋友电脑上装的是“瑞星杀毒软件2007”版，不过因为没有升级，病毒库太旧，已经无法认出现在最新的AutoRun病毒。而且瑞星的监控进程已经被病毒强行终止，小伞始终处于红色状态，尝试启动瑞星杀毒软件，提示加载失败。呵呵，一看就知道是瑞星文件夹被写入了一个破坏瑞星程序的DLL文件，不过好在病毒没有进行影像劫持，在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options下并没有看到Rav.exe等软件的名字，同时病毒也没有修改显示隐藏文件的注册表键值，通过文件夹选项―――查看―――选择显示隐藏文件和文件夹选项，并且去掉隐藏受保护的操作系统文件前面的小勾，我们就可以看到每个盘符下都有几个病毒文件，如果显示隐藏文件的注册表键值被修改了，大家也可以通过WINRAR查看（图一）。“-@HÎZ&¨bbs.ikaka.comJb4CmŒZ

通过查看AutoRun.inf文件的指向（图二），可以发现每次双击盘符，其实激活的是PegeFile.pif文件，Hide.exe与AutoRun.exe这两个病毒在与PegeFile.pif病毒的PK中都失败了，它们都没有抢到在每个盘符下率先建立AutoRun.inf文件的权限。哈哈，这就是以毒攻毒的效果吧。
大概了解情况后，就开始了杀毒工作，因为“瑞星杀毒软件2007”版已经过期，而且无法升级，所以立即卸载掉，而且卸载时选择了删除瑞星目录，这样顺便也把那个恶意DLL文件也删了。重新启动系统过后，立刻安装“瑞星杀毒软件2008”版，安装的时候我特意选择瑞星的安装位置，把它放在了E盘，以防止有些病毒对瑞星默认安装目录的破坏。在带毒环境下安装，所以选择了安装前扫描病毒，一下在内存中就查出了20个病毒，顺手干掉（图忘记截了：（），安装完成后重新启动，在BootScan那又杀掉了1个病毒，不过由于安装前扫描病毒与BootScan默认都不是全盘扫描，因此启动后病毒通过加载启动项企图再度激活自身，可惜没有能够成功，瑞星的主动防御开始运行了，阻止了病毒的加载，通过主动防御的日志我们可以看到病毒shaman.dll试图插入以下进程：
C:\WINDOWS\SYSTEM32\NVSVC32.EXE
C:\WINDOWS\SYSTEM32\WINLOGON.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\LSASS.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\P2SSVC.EXE
C:\WINDOWS\SYSTEM32\SPOOLSV.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\WUAUCLT.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SERVICES.EXE
因为瑞星进程自身具有保护功能，而且主动防御保护了以上进程，所以病毒的阴谋没能得逞。虽然病毒没能成功启动，不过由于它试图反复插入以上进程，造成explorer.exe等进程被瑞星锁死，系统无法进入到桌面。但是这个小问题却不影响我们继续查杀病毒，只要瑞星主程序还在运行即可。立刻点击瑞星进行全盘查杀，顺便看了下查杀速度与系统资源占用情况，总体说来还是不错的。没过多久病毒就扫描出来了，以下是病毒名：
Trojan.PSW.Win32.OnlineGames.xyp    c:\windows\system32\mscomm.dll>>upack0.34
Trojan.PSW.Win32.ZhuXian.ar    C:\WINDOWS\SYSTEM32\ZXIPRI.DLL
Trojan.PSW.Win32.OnlineGames.ycp    C:\WINDOWS\SYSTEM32\SRJNFB63.DLL
Trojan.PSW.Win32.WoWar.vn    c:\windows\system32\vdmvhnvbjp.dll>>upack0.34
Trojan.PSW.Win32.QQPass.tpu    C:\PROGRAM FILES\INTERNET EXPLORER\PLUGINS\WINSYS64.SYS
Trojan.PSW.Win32.WorldOnline.kl    C:\WINDOWS\SYSTEM32\WLHPRI.DLL
Trojan.PSW.Win32.OnlineGames.xyi    C:\WINDOWS\SYSTEM32\WGGPRI.DLL
Trojan.PSW.Win32.XYOnline.gq    C:\WINDOWS\SYSTEM32\MXBMAN.DLL
Trojan.PSW.Win32.SHOnline.a    C:\WINDOWS\SYSTEM32\SHAMAN.DLL
Trojan.PSW.Win32.OnlineGames.xyf    C:\WINDOWS\SYSTEM32\QJGPRI.DLL
Trojan.PSW.Win32.OnlineGames.xzx    C:\WINDOWS\SYSTEM32\TLVPRI.DLL
Trojan.PSW.Win32.XYOnline.gs    C:\WINDOWS\SYSTEM32\DHEPRI.DLL
Trojan.PSW.Win32.OnlineGames.xzv    C:\WINDOWS\SYSTEM32\ZTAMAN.DLL
Trojan.PSW.Win32.OnlineGames.xzw    C:\WINDOWS\SYSTEM32\JZIPRI.DLL
Trojan.PSW.Win32.OnlineGames.xxo    c:\program files\netmeeting\ravdhmon.dat>>upack0.34
Trojan.PSW.Win32.OnlineGames.ycv    C:\WINDOWS\SYSTEM32\DBGHLP32.DLL
Trojan.PSW.Win32.OnlineGames.xza    C:\WINDOWS\SYSTEM32\NVDISPDRV.DLL
Trojan.PSW.Win32.AskTao.bn    C:\WINDOWS\system32\wddpri.dll
Trojan.PSW.Win32.YBOnline.af    C:\WINDOWS\system32\jhbpri.dll
Trojan.PSW.Win32.RocOnline.cl    C:\WINDOWS\system32\myfpri.dll
Trojan.PSW.Win32.OnlineGames.ycv    C:\WINDOWS\SYSTEM32\DBCMBY.DLL
Worm.Win32.Agent.img    c:\program files\internet explorer\plugins\newtemp.dll>>upx_c
Trojan.IMMSG.Win32.TBMSG.ku    C:\WINDOWS\system32\2FE70E5E.DLL
Trojan.PSW.Win32.OnlineGames.ycp    C:\WINDOWS\SYSTEM32\SRJNFB63.DLL
Trojan.IMMSG.Win32.TBMSG.ku    C:\WINDOWS\system32\2FE70E5E.DLL
Worm.Win32.Delf.ysv    e:\hide.exe>>upack0.34
Trojan.PSW.Win32.QQPass.tpu    e:\autorun.exe>>upx_c
Worm.Win32.Delf.ysv    d:\hide.exe>>upack0.34
杀毒结束后，修复一下被病毒修改的系统设置，删除每个盘符所留下的AutoRun.inf文件，删除病毒所产生的启动项。至此，用“瑞星杀毒软件2008”版顺利把病毒清除干净了朋友的电脑又恢复了正常。
“-@HÎZ&¨bbs.ikaka.comJb4CmŒZ

后来觉得这次查杀不够过瘾，想测试一下“瑞星杀毒软件2008”版的应用程序访问控制功能。在征得朋友同意的情况下，我又进入瑞星的病毒隔离系统，把原来在E盘下的病毒又还原了回来，前提是关闭瑞星的文件监控，这样才能确保还原成功。然后进入瑞星应用程序访问控制的设置，把这三个病毒文件全部加入监控中（图三），看瑞星主动防御能否拦截这几个病毒的运行。“-@HÎZ&¨bbs.ikaka.comJb4CmŒZ

设置妥当后，尝试运行病毒，瑞星主动防御立刻跳出提示，顺利拦截病毒，使病毒无法运行（图四、图五）。“-@HÎZ&¨bbs.ikaka.comJb4CmŒZ

在瑞星的主动防御日志中，我们也可以看到病毒被拦截的记录：
试图改写目标程序内存    2000-09-05 10:00:32    C:\WINDOWS\SYSTEM32\8F2DA66B.EXE    C:\WINDOWS\SYSTEM32\WINLOGON.EXE
修改    2000-09-05 10:10:43    E:\HIDE.EXE    E:\HIDE.EXE
修改    2000-09-05 10:11:56    E:\PEGEFILE.PIF    E:\PEGEFILE.PIF
访问文件    2000-09-05 10:17:28    E:\AUTORUN.EXE    E:\AUTORUN.EXE
创建    2000-09-05 10:10:48    E:\HIDE.EXE    C:\WINDOWS\SYSTEM32\CMD.EXE
挂钩子    2000-09-05 10:09:34    E:\AUTORUN.EXE    C:\PROGRAM FILES\INTERNET EXPLORER\PLUGINS\WINSYS64.SYS
挂钩子    2000-09-05 10:12:01    E:\PEGEFILE.PIF    C:\PROGRAM FILES\INTERNET EXPLORER\PLUGINS\NEWTEMP.DLL
挂钩子    2000-09-05 10:24:16    E:\AUTORUN.EXE    C:\PROGRAM FILES\INTERNET EXPLORER\PLUGINS\WINSYS64.SYS
“-@HÎZ&¨bbs.ikaka.comJb4CmŒZ

很多用户以前都在抱怨，为什么杀毒软件这么容易就被病毒终止了，貌似一点效果都没有。这次“瑞星杀毒软件2008”版通过主动防御技术，确保了杀毒软件不会被病毒终止，为用户进一步查杀病毒铺平了道路，只要用户升级瑞星即可解决病毒，即使你没有及时升级杀毒软件也不怕了，主动防御＋智能的行为检测能助你一臂之力，让你处理未知病毒得心应手，不再无所适从，总结成一句话就是：“病毒不在，瑞星在；病毒在，瑞星也在。”而且通过这次查杀过程，我们可以看到“瑞星杀毒软件2008”版其强大的杀毒能力与防御功能，任何微小的安全隐患都逃不过它的检测，其友好的界面，良好的稳定性与可操作性，都让普通用户轻松上手。由于目前只是测试版，有部分功能还没有加入“瑞星杀毒软件2008”版，有些小问题也在尽力修改中，相信等到“瑞星杀毒软件2008”正式版发布后，其品质会更上一层楼。因此，我十分信赖瑞星的保护，同时也希望本人的这篇文章能给大家一点帮助，让病毒侵袭我们爱机的时候，能利用“瑞星杀毒软件2008”版为我们上网保驾护航，远离病毒的侵扰。
最后祝北京瑞星科技股份有限公司越做越好！
“-@HÎZ&¨bbs.ikaka.comJb4CmŒZ

呵呵，我也会写个的，我今天白天把规则刚写好，准备测试一下“-@HÎZ&¨bbs.ikaka.comJb4CmŒZ

我也认为主动防御技术是这次瑞星的一大突破！“-@HÎZ&¨bbs.ikaka.comJb4CmŒZ

都是  强人啊“-@HÎZ&¨bbs.ikaka.comJb4CmŒZ

我就不会使用“-@HÎZ&¨bbs.ikaka.comJb4CmŒZ