利用Windows PE來檢查和清除電腦病毒和流氓軟體

當今的網路社會，電腦病毒、木馬和流氓軟體是狼狽為奸，對電腦系統的安全性、啟動並執行穩定性構成很大威脅。如何有效檢測和清除我們電腦中的病毒、木馬和流氓軟體，一直都是殺毒領域裡面的重要話題。
一般的查毒和殺毒方法都是依賴於專業的病毒檢測和清除軟體。這些檢測和清除軟體因為有專業的病毒領域的專家和開發人員作為支援，對流行的絕大部分電腦病毒都有一定的效果。很多人在使用殺毒軟體的時候，看到滿螢幕的電腦病毒列表，都會對電腦殺毒軟體充滿感激之情。
但是，殺毒軟體當真萬能嗎？殺毒軟體的宣傳廣告中不遺餘力地宣傳他們的產品，並提醒要每天升級他們的病毒庫。做到這些，你的電腦就真的安全了嗎？
可以說，目前沒有哪一款殺毒軟體真的能保證這些。每天幾乎都有新的病毒。有很多病毒甚至都沒有被列入殺毒軟體的病毒庫。有很多種方法可以將一個病毒進行微小的更改，然後讓殺毒軟體不再認為是病毒。也有一些病毒和流氓軟體非常賴皮，殺毒軟體能夠發現病毒，但是卻無法清除。這個往往是因為病毒啟動並執行時候鎖定了這個檔案，導致殺毒軟體無法對它變更。因此，萬萬不能完全依賴殺毒軟體。
何況，現在的很多殺毒軟體，本身的行為就很類似病毒，佔用系統的很多運行資源，收集你的電腦資料並發送到他們的技術中心。很多殺毒軟體的即時監控一開啟之後，運行漫如蝸牛。
因此，有必要尋找一些更有效病毒檢測和防範措施。以下手段是我在實踐中經常使用，而且我認為具有一定效果的病毒檢測和清除手段。這些手段在你的殺毒軟體束手無策的時候，往往回有奇效。

Windows PE

Windows PE的名字叫Windows Preinstall Enviroment（Windows 預先安裝環境）。原來是微軟向大客戶提供的Windows 批量部署工具。但一些人發現這個工具非常適合進行Windows 系統的維護和恢複，因此現在有很多類似於Windows PE的維護工具。
Windows PE有幾個特點：首先，它使用的是Windows XP/2003的系統核心，天然支援FAT/NTFS/CDFS等檔案系統。其次，他無須安裝，可以直接從光碟片上進行引導並運行。這樣，啟動了Windows PE，就相當於有了一個微型的Windows 系統。雖然說這個系統有每隔24小時就自動重啟的特性，但這個對於電腦維護基本沒有影響。
因為Windows PE啟動過程中，不需要使用硬碟上的可執行檔，因此，即使硬碟上感染了電腦病毒，對Windows PE也沒有任何影響，使用Windows PE啟動的系統是乾淨沒有病毒的。

假如可以在Windows PE系統上安裝殺毒軟體並啟動並執行話，可能就比較完美了。可惜，現在的殺毒軟體幾乎都不能在windows PE上安裝運行。不過，還是有個好訊息：mcafee定期發布的病毒升級庫中(Super DAT)，都會附帶一個可以進行查毒和殺毒的命令列工具。利用這個工具，你可以完全享受mcafee的殺毒能力。因此，你可以在啟動Windows PE之後，使用這個命令列工具對你的硬碟進行查毒和殺毒。這個工具完全免費，也沒有正版盜版之分，簡直就是天上掉下來的免費午餐。

要使用這個免費的工具，你首先將mcafee的超級病毒庫（檔案名稱為 sdatxxxx.exe，其中xxxx為數字編號）下載，儲存與硬碟上。然後，使用Windows PE啟動電腦。開啟命令列提示符，轉到病毒庫所在的檔案夾內。輸入以下命令：
sdatxxxx  -e
這個命令將病毒庫中的查毒程式和病毒庫都解壓出來。等大約20秒鐘之後，解壓就可以完成。你可以查看到這個檔案夾下有 scan.exe 這個程式。
接下來就可以運行這個程式進行查毒和殺毒。
查毒的命令是
scan  c: 
查殺的命令是
scan  c:  /clear

 借用Windows  PE檢查是否存在Rootkit木馬和病毒

目前，有部分病毒應用了Rootkit技術，這些技術能夠讓你在正常情況下不能看到病毒檔案。即使你把“查看系統檔案”、“查看隱藏檔案”的選項全部加入，也無法察看。對這部分的病毒，其實有個非常簡單的方法可以輕易檢測出來。這個方法是在一個微軟技術員那裡看到的，我在這裡向大家介紹。這個方法關鍵就是一個 dir命令。
首先，你不使用Windows PE啟動電腦，然後開啟命令提示字元，轉入可疑檔案夾。比如c:/windows
然後，輸入 dir  *.* /a /s  > d:/list1.txt
這個命令將把c:/windows 內所有檔案的檔案名稱、檔案長度都儲存到 d:/list1.txt 檔案中。
接著，使用Windows PE啟動電腦，在重複上述過程，不過這次將輸出的檔案名稱改為 d:/list2.txt中。
最後，你可以利用一個文字檔比較工具，對產生的以上兩個檔案進行比較。一般說來，如果你發現有哪個帶 .exe, .dll, .ocx, .scr等可執行檔明的檔案在 list2.txt中出現，但是在 list1.txt 檔案中沒有出現，則幾乎可以肯定這個是個有問題的檔案，可以利用Windows PE的檔案管理工具進行直接刪除，或者移動到其他安全的地方。
這個方法，其實就是利用了 Rootkit木馬的特性。使用一般的方法你無法查看到這個檔案，但是在Windows PE啟動的環境中，不受Rootkit的影響。

利用 dir 命令還有一個用途。很多病毒和木馬都把自己複製到 c:/windows 或者 c:/windows/system32中，並且給他系統檔案和隱藏檔案的屬性。這時，你只要啟動到Windows PE中，然後，在命令提示字元下下一個命令：
 dir  /a:hs  /s  c:/windows
註：將 c:/windows 替換為你的windows 安裝資料夾，不要照抄

如果你能夠看到一些副檔名是 dll, 或者exe 的話，基本上也是木馬和病毒。當然，木馬和病毒不僅僅藏身與這些地方。我還看到有病毒藏於 temp檔案夾中的。

 這個命令可以列出在這個檔案夾內所有具有隱藏或者系統檔案屬性的檔案。因為這個檔案夾內的正常檔案一般不會去設定這個屬性，而大部分病毒和木馬會這麼做，這個命令就把這樣的病毒和木馬找出來了。

另外，有些使用Rootkit技術的木馬（如灰鴿子）在使用這個命令的時候，查看不到這個檔案的存在。但是，在最後的檔案數目中會計算進去。如果你實際查看到的檔案數目與命令後面列出的檔案數目不一致，很大可能也是中了這一類的木馬和病毒。