wtpublic 
3533手機世界 
2006-10-1 二、病毒現身
出于減少用戶誤操作的顧慮,Windows系統在缺省情況下是不會把系統文件、隱藏文件顯示出來給用戶看的。所以,之前我們打開手機U盤后,表面上所見的文件并無異常,這時就需要我們“透過現象看本質”了。通過修改資源管理器的“工具 — 文件夾選項”的屬性,我們才得以看清磁盤內容的背后乾坤。照圖3操作就可以給資源管理器打開“天眼”了(安上“照妖鏡”,呵呵)。
圖3-1:給資源管理器打開“天眼”的方法
圖3-2:資源管理器裝好“照妖鏡”時的設置
圖4是裝好“照妖鏡”后,所見隱藏著的病毒。根目錄下的三個文件:RavMonE.exe,RavMonLog,msvcr71.dll。RavMonE.exe 這個病毒體主程序就是通過autorun.inf 告知Windows系統得以運行的。
圖4:病毒文件的真實面目
后注:病毒體程序也可能不放在根文件夾下,而是放在貌似回收站英文名的文件夾內,可能還層層深入躲避查殺,總之,我們可利用Windows記事本來打開 autorun.inf(不可雙擊 autorun.inf,切記)找出病毒的藏身之所。
