360u盘杀毒专家免费版/U盘量产成功却不能启动

黑客入侵后要做的事就是上传木马后门，为了能够让上传的木马不被发现，他们会想尽种种方法对其进行伪装
而作为被害者，我们又该如何识破伪装，将系统中的木马统统清除掉呢！

　　一、文件捆绑检测
　　将木马捆绑在正常程序中，一直是木马伪装攻击的一种常用手段
下面我们就看看如何才能检测出文件中捆绑的木马

　　1.MT捆绑克星
　　文件中只要捆绑了木马，那么其文件头特征码一定会表现出一定的规律，而MT捆绑克星正是通过分析程序的文件头特征码来判断的
程序运行后，我们只要单击“浏览”按钮，选择需要进行检测的文件，然后单击主界面上的“分析”按钮，这样程序就会自动对添加进来的文件进行分析
此时，我们只要查看分析结果中可执行的头部数，如果有两个或更多的可执行文件头部，那么说明此文件一定是被捆绑过的！
　　2.揪出捆绑在程序中的木马
　　光检测出了文件中捆绑了木马是远远不够的，还必须请出“FearlessBoundFileDetector”这样的“特工”来清除其中的木马

　　程序运行后会首先要求选择需要检测的程序或文件，然后单击主界面中的“Process”按钮，分析完毕再单击“CleanFile”按钮，在弹出警告对话框中单击“是”按钮确认清除程序中被捆绑的木马

　　二、清除DLL类后门
　　相对文件捆绑运行，DLL插入类的木马显的更加高级，具有无进程，不开端口等特点，一般人很难发觉
因此清除的步骤也相对复杂一点

　　1.结束木马进程
　　由于该类型的木马是嵌入在其它进程之中的，本身在进程查看器中并不会生成具体的项目，对此我们如果发现自己系统出现异常时，则需要判断是否中了DLL木马

　　在这里我们借助的工具，运行该程序后会自动检测系统正在运行的进程，右击可疑的进程，在弹出的菜单中选择“模块信息”，在弹出的窗口中即可查看所有DLL模块，这时如果发现有来历不明的项目就可以将其选中，然后单击“卸载”按钮将其从进程中删除
对于一些比较顽固的进程，我们还将其中，单击“强行解除”按钮，然后再通过“模块文件名”栏中的地址，直接到其文件夹中将其删除

　　2.查找可疑DLL模块
　　由于一般用户对DLL文件的调用情况并不熟悉，因此很难判断出哪个DLL模块是不是可疑的
这样ECQ-PS(超级进程王)即可派上用场

　　运行软件后即可在中间的列表中可以看到当前系统中的所有进程，双击其中的某个进程后，可以在下面窗口的“全部模块”标签中，即可显示详细的信息，包括模块名称、版本和厂商，以及创建的时间等
其中的厂商和创建时间信息比较重要，如果是一个系统关键进程如“svchost.exe”，结果调用的却是一个不知名的厂商的模块，那该模块必定是有问题的
另外如果厂商虽然是微软的，但创建时间却与其它的DLL模块时间不同，那么也可能是DLL木马

　　另外我们也可以直接切换到“可疑模块”选项，软件会自动扫描模块中的可疑文件，并在列表中显示出来
双击扫描结果列表中的可疑DLL模块，可看到调用此模块的进程
一般每一个DLL文件都有多个进程会调用，如果调用此DLL文件的仅仅是此一个进程，也可能是DLL木马
点击“强进删除”按钮，即可将DLL木马从进程中删除掉

　　三、彻底的Rootkit检测
　　谁都不可能每时每刻对系统中的端口、注册表、文件、服务进行挨个的检查，看是否隐藏木马
这时候我可以使用一些特殊的工具进行检测

　　1.RootkitDetector清除Rootkit
　　RootkitDetector是一个Rootkit检测和清除工具，可以检测出多个Windows下的Rootkit其中包括大名鼎鼎的hxdef.100.
　　用方法很简单，在命令行下直接运行程序名“rkdetector.exe”即可
程序运行后将会自动完成一系统列隐藏项目检测，查找出系统中正在运行的Rootkit程序及服务，以红色作出标记提醒，并尝试将它清除掉

　　2.强大的Knlps
　　相比之下，Knlps的功能更为强大一些，它可以指定结束正在运行的Rootkit程序
使用时在命令行下输入“knlps.exe-l”命令，将显示系统中所有隐藏的Rootkit进程及相应的进程PID号
找到Rootkit进程后，可以使用“-k”参数进行删除
例如已找到了“svch0st.exe”的进程，及PID号为“3908”，可以输入命令“knlps.exe-k3908”将进程中止掉

　　四、克隆帐号的检测
　　严格意义上来说，它已经不是后门木马了
但是他同样是在系统中建立了管理员权限的账号，但是我们查看的却是Guest组的成员，非常容易麻痹管理员

　　在这里为大家介绍一款新的帐号克隆检测工具LP_Check，它可以明查秋毫的检查出系统中的克隆用户！
　　LP_Check的使用极其简单
，程序运行后会对注册表及“帐号管理器”中的用户帐号和权限进行对比检测，可以看到程序检测出了刚才Guest帐号有问题，并在列表中以红色三角符号重点标记出来，这时我们就可以打开用户管理窗口将其删除了

电脑提示不能识别的USB设备，在设备管理器中可以看到一个USB设备的驱动没有安装
由于损坏特征不一样，当然修复的办法也不一样
根据损坏特征，可以分为软件修复和硬件修复
一． 软件修复 对于第一种U盘的损坏特征，用软件低格U盘就能修复，一般情况下购买U盘时附带的光盘中就有该U盘的低级格式化工具软件
但如果是杂牌的，那就要到网上去找适合它的工具软件了
U盘是杂牌的有很多种低格工具，有mformat、pointclip、USBboot和U盘万能格式化工具ProductionTool，它们的用法大同小异，但是这几个工具试了试都没有修好，最后用了一个“星梭低级格式化工具PDX8.EXE”，把它修好了
这个工具在网上很容易找到，下面我就介绍一下这个工具软件的用法： 1． 执行PDX8， 2． 一般情况下，先检查一下FLASH是否损坏，用“Check Flash”检测一下Flash是否已损坏， 3． 如果Flash是好的，就可以进行低级格式化了，单击“OPTION”可以设置选项，主要设置“Flash Text”和“Capacity Adjust”选中“Low Level Format”即低级格式化，在选中U盘容量，最后单击“RUN”，进行低级格式化，低格的速度比较慢，格式化好 二． 硬件修复 U盘插入电脑，提示“无法识别的设备”
这单纯从软件修复就不行了，要检查硬件部分
U盘的电路非常简单，一个电路板上有两块芯片，正面一块是USB接口控制芯片，反面是一块芯片是flash存储芯片，配上一些由电阻、电感、电容组成的外围电路
认识了USB设备和U盘硬件后，查U盘电气特性，一般从以下几个方面入手： 1.供电故障 USB接口中间的两个2、3是数据D-和D+，旁边的两个4是接地、1是+5v
主控供电部分连接一个三端稳压块，当输入脚输入一个5V电压时，输出脚就会输出一个稳定的3.3V
这个输出电压再串接小电阻给主控芯片供电，如不能识别的U盘一般都是保险电感损坏或3.3V稳压块损坏，可以用万用表查这三个引脚的电压，和与之串接的小电阻，如果供电没有问题，插入电脑后就能提示“发现新硬件”，而提示“无法识别的USB设备”说明不能进行正常的通信
2.时钟 时钟关系到U盘能不能和电脑（USB控制器）进行通信
因为主控芯片也有运行频率的概念，而频率是由晶振和外围电路来负责
晶振很怕摔，可U盘又很容易摔摔碰碰，这样就很容易造成晶振损坏
判断其好坏最好的方法就是换一个好的晶振
这第二个损坏的U盘，插入电脑后提示“不能识别的USB设备”，在“我的电脑”“属性”里有一个没有安装驱动程序的USB设备，但是无法安装驱动程序
换一个6MHZ的晶振，果真又能安装驱动程序了
3.主控芯片，如果USB供电正常，换了晶振仍然不能工作，那就是主控芯片损坏了
这个U盘就真的OVER了
因为要买主控，价格较高，而且非专业人员焊接不好，不能保证正常工作，所以就不用修了，如果有电子制作方面的爱好还可以试一试
TIPS：闪盘最容易损坏的时候是读写数据时进行热插拔；或者反复格式化成不同格式；长时间持续使用；或是在高温、严寒环境中应用，真正芯片出问题的时候很少
所以在用U盘的时候在一次集中复制、删除存储的内容，不要一个文件做一次读写操作；读写操作完了要及时的拔下U盘，不要长时间的插在电脑上；不要反复格式化；如果U盘真的不被识别了，查硬件时，芯片坏的很少，主要是外围电路，如电阻、晶振等