关于Dr.Web CureIt!在系统正常模式下和安全模式下运行的一点说明

留侯

原来普遍的看法，都认为在安全模式下运行Dr.Web CureIt!能更彻底地查杀病毒。原因是大家都觉得，在安全模式下，某些病毒不会运行，更利于查杀。其实这是个误解！这个理解是比较片面的，我想我有必要详细解释一下。

首先需要说明的是：Dr.Web CureIt!，也就是大蜘蛛的绿色版扫描程序，它是在系统被病毒感染之后，使用的一个扫描工具，目的是找出系统内的病毒并清除之，从而治愈（Cure）您的系统——这也是大蜘蛛命名Dr.Web CureIt!和Dr.Web CureNet!的由来。也就是说，它的出现，是在系统被病毒感染之后，而非是像大蜘蛛安装版本，比如说单机版和Dr.Web AV-Desk，因为这些版本含有监控组件，会提前阻止和拦截病毒，并采取相应的清除/修复、隔离、重命名和删除的选择。

提前阻止和拦截病毒的处理，和扫描被病毒感染后的系统，一个是监控防御，一个是扫描修复，这是基于系统处于两个不同状态的行为，所以使用Dr.Web CureIt!不能以安装版本的思维来进行。

个人的建议是：将系统的正常模式状态，列入Dr.Web CureIt!扫描环境的第一选择，而不是安全模式。

为什么这么说？

这里就涉及到大蜘蛛对Malware（恶意软件）的扫描。很多Malware，典型的比如说Rootkit。Rootkit是指其主要功能为隐藏于其他程式进程的软件，可能是一个或一个以上的软件组合。Rootkit之所以特殊是因为它具有隐身隐身功能：无论静止时（作为文件存在），还是活动时（作为进程存在），都难以被察觉；而且您不知道它们在做什么事情。

找出系统内隐藏的Rootkit 十分困难。目前反病毒软件的反Rootkit技术，主要可划分为以下两类：一是基于签名（传统的反病毒特征码）的检查程序，以此判定是否为已知的 Rootkit。二是基于行为的检查程序试图通过查找一些代表 Rootkit 主要行为的隐藏元素来找出 Rootkit。这个行为，包含启发式扫描技术；以及一些反病毒软件厂商自己的独特技术，比如说大蜘蛛的Origins Tracing技术，也就是一种独一无二的非特征风险程序的运算法则。

大蜘蛛的Origins Tracing技术，它的第一个特性，就是有效的Rootkit抵消技术；它能找出系统内隐藏的Rootkit，并作出相应的处理。鉴于Rootkit的特殊性，我们推荐用户在正常模式下运行Dr.Web CureIt!，这是第一选择。大家可能奇怪，为什么不将安全模式列入第一选择？

安全模式是Windows操作系统中的一种特殊模式，其工作原理是在不加载第三方设备驱动程序的情况下启动电脑，使电脑运行在系统最小模式，这样用户就可以方便地检测与修复计算机系统的错误。所以说，安全模式更多的功能是用来修复系统故障的，而不是用来杀毒的，不要认为含有“安全”两字就和反病毒软件相关。

在安全模式下，大蜘蛛的反Rootkit模块有可能无法正常工作而失效。也就是说，可能存在这样的情况，系统内含有Rootkit，但是在安全模式下，大蜘蛛无法侦测出来，反Rootkit模块失效了；反而在正常模式下能有效地侦测出来。反过来说就是：Dr.Web CureIt!在系统正常模式下，能更好地工作。

为什么会这样？我个人的理解是：在安全模式下，某些Rootkit无法运行；而在正常模式下，系统内隐藏的Rootkit会执行相关的动作，而这反而使得大蜘蛛能更容易发现正在运行的恶意软件，治愈被感染的系统。所谓的“治愈”，就是查找出隐藏在系统内部的恶意程序及其衍生物，进行查杀。

那么，会有用户担心这样的情况：系统在正常模式下运行，病毒岂不是很快就会感染更多的系统程序和文件？这也是很多用户为什么像要在安全模式下运行扫描的一个原因。大蜘蛛也考虑到了这个问题，并提供了相应的解决办法。

运行新版本的Dr.Web CureIt!，用户就会发现Dr.Web CureIt!新增了一个功能模式——Enhanced Protection Mod，也就是增强保护模式。在此模式下，所有程序均被锁定而无法启动运行。这增强了大蜘蛛处理病毒的能力，使得大蜘蛛能更加容易地找到隐藏在系统内的病毒和恶意文件以及其衍生物，进行更为彻底的查杀；同时也减少了病毒对系统文件的感染。

所以使用Dr.Web CureIt!，无论是正常运行的系统，还是被病毒感染的系统，假如您的系统能正常运行的话，请在正常模式使用Dr.Web CureIt!扫描您的电脑。个人不推荐将系统的安全模式作为Dr.Web CureIt!运行的第一选择环境，因为这不是最好的选择。除非您的系统无法进入正常模式，而只能进入安全模式下运行。而当您的系统因为病毒感染而无法进入系统的时候，大蜘蛛急救光盘（Dr.Web LiveCD）往往是一个不错的选择，鉴于篇幅和内容，这里不作详细的解释，大家可以参考：http://mydrweb.drweb.com.cn/livecd.aspx。

最后的补充：

在发现系统中存在 Rootkit 之后，能够采取的补救措施也较为有限。由于 Rootkit 可以将自身隐藏起来，所以您可能无法知道它们已经在系统中存在了多长的时间，而且您也不知道 Rootkit 已经对哪些信息造成了损害。对于找出的 Rootkit，最好的应对方法便是删除并重新安装系统。虽然这种手段很严厉，但是这是得到证明的唯一可以彻底删除 Rootkit 的方法。

以上观点，都是个人的一些粗浅理解，有不足之处请大家谅解。欢迎大家提出不同的批评意见和建议。谢谢！

ppy0606

  虽然不用这个神器，但是还是谢谢楼主的那份热心！

  辛苦了！

xffsfy

嗯...这个话题可以不仅仅局限于蜘蛛，对其他一些杀软也有相同的讨论价值

留侯

回复 3楼 xffsfy  的帖子

谢谢您的支持！

是的，我参考了一些其他的反病毒软件，发现它们有时候也存在这个问题，有时候在安全模式下，反Rootkit模块会失效而无法正常工作。
   

yaofang1989

很好的文字，顶一下

v5563142

回复 4楼 留侯  的帖子


    我急需这个神奇....我的系统备份的还原都被感染了病毒   给个下载地址吧

100972

支持了

l.i.e

学习了，原来大蜘蛛绿色版 还是在系统下运行为妙哦

留侯

回复 6楼 v5563142  的帖子
大蜘蛛绿色版（Dr.Web CureIt!）：
ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe
ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe

两个地址均是，选择一个即可。详细使用可参考：http://mydrweb.drweb.com.cn/cureit.aspx

   

ianian

向楼主学习