木馬雖瘋狂，但對付它的方法也有多種，我認(rèn)為最好的方法是能自己掌握查殺木馬的方法。下面用一個實例介紹一種利用系統(tǒng)本身自帶的“程序安裝事件記錄文件”查找木馬的方法，希望起到拋磚引玉的作用(該方法只適用Windows 2000/XP/2003)。
“程序安裝事件記錄文件”的文件名是SETUPAPI.LOG，根據(jù)你的系統(tǒng)所在分區(qū)不同，在Windows或WINNT目錄下，這個文件記錄的是機器安裝硬件和軟件的信息，不管是否安裝成功，它都會把這些動作記錄在案。由于這些記錄很詳細(xì)，所以文件體積大、內(nèi)容繁雜。不過只要細(xì)心，有耐性，你也會成為逮“馬”的高手。以下是我的電腦被感染木馬后，截取SETUPAPI.LOG的部分內(nèi)容。
[2004/11/10 14:01:54 180.1]
#-198 處理的命令行: "E:\Program Files\Internet Explorer\iexplore.exe" -nohome
#-024 正在將文件 "E:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\UVE9O9O5\icyfox[1].exe" 復(fù)制到 "E:\Windows\Downloaded Program Files\#.exe"。
#W361 一個未經(jīng)過簽名、簽名不正確或 Authenticode(TM) 簽名的文件 "E:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\UVE9O9O5\icyfox[1].exe" 將得到安裝(策略=忽略)。 錯誤 87: 參數(shù)不正確。
從這些片斷中不難看出， 該病毒是通過IE進來的，到達IE臨時文件夾后再復(fù)制到了IE默認(rèn)的下載文件夾下進行安裝。整個過程都是通過一個腳本文件完成的，包括它自動運行。
此木馬在系統(tǒng)中的進程名是HWS.EXE，文件存放在Windows的系統(tǒng)文件夾下。通過文件時間可以看出與SETUPAPI.LOG記錄的時間相吻合。它在系統(tǒng)中運行后，IE和注冊表被改，而且無法再打開“注冊表編輯器”，也無法再導(dǎo)入注冊表文件，最后利用工具才解除了注冊表禁用，可不一會又回到了原來的狀態(tài)。種種跡象表明，HWS.EXE不是一個正常的進程。
之后，先在“任務(wù)管理器”中將HWS.EXE終止，然后在系統(tǒng)文件夾下刪除HWS.EXE文件，再用工具修復(fù)IE和注冊表，終于把此“馬”趕出了系統(tǒng)。
這個木馬是以進程方式在系統(tǒng)中運行，相對比較容易被發(fā)現(xiàn)。而對于一些插入進程的木馬，就要在SETUPAPI.LOG文件中搜索調(diào)用系統(tǒng)注冊服務(wù)的命令REGSVR32.EXE了。
以上我說了利用SETUPAPI.LOG文件查找木馬的過程。其實它還有很多有用的地方，如查找軟件和硬件故障也大有用武之地。