当前位置: 首页 > 图文教程 > 操作系统 > Windows > 提取感染exe程序的病毒木马系统文件

Windows
Windows系统中鲜为人知的宝藏之文件夹篇
Ping不通 缓存在作怪
删除注册表垃圾后XP出现错误的解决方法
Win2000/2003中巧定光驱网络访问权限
一网打尽 保存网页图片的八种方法
没有密码也进共享文件夹
Windows XP操作系统内存性能优化技巧
Windows操作系统中三则文件隐藏技巧
巧妙设置在Windows中实现“一键关机”
轻松下载Flash里的画中画
Windows鲜为人知的宝藏之程序篇
令系统更快更安全的网友小技巧
清除历史记录 保护系统安全无忧
Windows系统中三则文件隐藏技巧
新Windows XP系统上网如何保障安全
修改IE选项解决不播放GIF动画
更改IE下载文件后的默认处理方法
绕过msconfig巧妙设置Win 2000启动项
如何使系统在打补丁时保证网络带宽
Windows操作系统中如何完全删除输入法

Windows 中的 提取感染exe程序的病毒木马系统文件


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-20   浏览: 208 ::
收藏到网摘: n/a

  现在感染exe程序的病毒木马都喜欢修改系统文件,通常的杀毒软件都不能将中毒的系统文件恢复回原状,那么除了重装和从其他机器拷贝外还有别的方法吗?

  还可以从安装盘提取最原始、最保险的“原装”文件!但是安装盘中的文件可不是直接复制/粘贴就能弄出来的,而且XP和Vista/2008的提取方法还不同,因为它们使用了不同的安装方式。

  一、提取XP安装盘的文件

  仔细观察XP安装盘的文件,可以看到i386目录中绝大部分文件都是“EXPLORER.EX_”这类的文件名,其实它是经过压缩后的文件,文件名和解压出来的文件名一样,但是扩展名和文件大小不同,所以直接改后缀是不能使用的。

  有两种方法可以把文件解压出来:
  
  方法一:使用压缩软件例如7-zip直接将这个文件解压。之所以提到7-zip,除了它免费之外还因为它默认会将“7-zip”菜单集成到所有文件(或文件夹)右键菜单中,用起来很方便。当然使用WinRAR也是可以解压的。
  
  方法二:在窗口命令行状态下使用XP自带的Expand命令解压文件。用法如:expand D:\i386\EXPLORER.EX_ C:\explorer.exe,(如图1);含义为将D盘i386目录下的EXPLORER.EX_文件解压到C盘根目录下面,并命名为explorer.exe。i386目录就是XP安装盘中安装文件所在的目录。这条命令常用于恢复控制台下面修复系统。

图1 使用expand提取文件

  二、提取Vista/2008安装盘中的文件

  Vista/2008使用了新的安装技术,所有安装文件都保存在sources\install.wim文件中;这个文件无法用一般的软件打开,只能用微软提供的imagex.exe程序打开。这个程序没有图形操作界面,现以Vista下使用为例子介绍用法:

  第一步:以管理员身份运行命令提示符,并使用CD命令(例如:“CD i386”命令就是进入当前目录的i386子目录)进入imagex.exe所在的文件夹。
  
  第二步:使用imagex/info h:\sources\install.wim命令查看当前安装光盘包含的系统版本。例如Vista安装盘中就有Home Basic、Home Premium、Business、Ultimate等版本。当看到
  
  Windows Vista ULTIMATE

  这个段落就说明索引号4的镜像为Vista ULTIMATE安装文件所在。

  第三步:使用命令如imagex /mount g:\sources\install.wim 4 d:\msdn将G盘安装文件中索引号为4的安装镜像映射到d:\msdn文件夹。这时打开d:\msdn就能像进入普通文件夹一样提取原始文件了,不需要解压哦。

图2 使用imagex提取文件

  第四步:用完后需要卸载镜像,对应如上操作的命令如下:imagex /unmount d:\msdn。

  小提示:

  1、如果无法使用imagex.exe,进入控制面板→添加新硬件,手动安装WIMFLTR.INF。

  2、imagex映射到的文件夹必须真实存在。如果原文件夹有文件,那么映射后文件并不会消失,只是被Vista的安装文件“伪装”起来了。