未知病毒的提取和上报

north_wolf

未知病毒的提取和上报
一、如何提取这些可疑文件或者未知病毒
通过手动查找的方式或者使用杀软自带的程序或者一些第三方程序即可方便提取。现在病毒的隐匿方法越来越透彻，最近的一些病毒都是通过恶意篡改系统显示隐藏文件的注册表键值或者拦截系统API的方式来达到隐藏自己的目的。
1.如果通过手动的方式查找可疑文件，又发现系统的隐藏属性总被自动恢复成“不显示隐藏文件”，则需要通过如下方法：
如果发现打开隐藏文件的属性无法更改，请打开注册表（开始－运行中输入regedit.exe）,依次展开至"HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL，删除"CheckedValue"键值，在空白处右键单击，在弹出菜单中选择"新建"－"DWORD值"，起名为"CheckedValue"，双击打开该键值，将CheckedValue键值设置为"1"。
也可以到< FIdo_LEe's工具空间 >的《病毒预防、修复系统的辅助工具》中下载“恢复中毒后无法显示隐藏文件showall.reg”，然后双击导入即可。如果有些文件在开启显示隐藏文件的情况下仍旧找不到，可以使用IceSword或者winrar压缩程序的主程序查找。IceSword也可以在< FIdo_LEe's工具空间 >的《疑似或未知病毒的查找、检测工具》中找到。
2.使用江民自带的《查找被病毒隐藏的文件》工具：启动这个程序的方式为打开主程序－－点击“工具”菜单－－点击“查找被病毒隐藏的文件”即可启动这个工具。在程序的主界面中可以选择“系统文件夹”或者手动选择“指定文件夹”来指定病毒藏身的路径。然后点击“开始”按钮。扫描完毕后，选中扫描到的可疑文件，点击“复制到...”按钮，在弹出的对话框中指定保存的路径和保存的文件名即可成功提取样本。
3.使用《IceSword》工具：IceSword使用了大量的未公开的系统函数，可以很容易的显示那些通过特殊方法来隐藏自己的病毒文件。使用方法是启动IceSword主程序，在界面的左下方点击“文件”按钮，会发现罗列出的本地磁盘列表，很像资源管理器。通过点击进入相应的路径可以很方便的找到那些被恶意隐藏的文件，找到文件之后右键单击－－点击“复制”－－在弹出的对话框中指定保存的路径和文件名后点击“确定”按钮即可成功提取可疑文件。
4.使用RAR主程序或者total commander等软件：RAR主程序也可以在不显示隐藏文件的情况下找到隐藏文件。方法是启动RAR主程序－－像在浏览“我的电脑”那样切换盘符和进入可疑文件隐藏的路径中去寻找。找到后右键单击－－选择“添加文件到压缩文件中”，在弹出的对话框中指定保存路径和文件名－－单击“高级”选项卡－－点击“设置密码”按钮，为压缩包指定一个密码（一般都为virus）后点击“确定按钮”即可成功提取并压缩可疑文件。total commander的使用很类似资源管理器和我的电脑，在此不再赘述。
二、提取之后如何上报
现在的杀软厂家都已经具备了比较完善的病毒上报和反馈机制，在此提供一些常用的病毒上报途径供大家选择和参考（注意，在线上报的程序最好用rar压缩一下，并且加密码。在上报的过程中必须注明所加的密码是什么）：
1.使用杀软自带的上报方式：
（1）江民的杀毒软件中至少提供了两个病毒上报方式：第一种通过点击主程序中的“服务”菜单－－点击“病毒上报”－－在弹出的界面中选择“添加”按钮－－在弹出的对话框中选择刚才提取的程序然后点击“打开”按钮－－点击“发送”按钮即可成功发送。
（2）打开江民的未知病毒检测，右键单击扫描出的可疑程序－－点击“上报样本”即可自动发送。
2.使用杀软厂家网站上的病毒上报页面（上报的程序最好用rar压缩一下，并且加密码。在上报的过程中必须注明所加的密码是什么，并且注明自己的邮件地址）：
未知病毒的发现和提取、上报大概就是这么几个步骤。因为时间仓促，难免有遗漏和不周全的地方。大家看后若觉得有那些不足或者不周全的地方，请及时跟帖或者PM我。希望通过厂家和用户的互动，今后我们面临危险和尴尬的情况会越来越少！让我们共同打造一片属于大家的纯净的网络空间！