wtpublic 
3533手机世界 
2006-10-1 二、病毒现身
出于减少用户误操作的顾虑,Windows系统在缺省情况下是不会把系统文件、隐藏文件显示出来给用户看的。所以,之前我们打开手机U盘后,表面上所见的文件并无异常,这时就需要我们“透过现象看本质”了。通过修改资源管理器的“工具 — 文件夹选项”的属性,我们才得以看清磁盘内容的背后乾坤。照图3操作就可以给资源管理器打开“天眼”了(安上“照妖镜”,呵呵)。
图3-1:给资源管理器打开“天眼”的方法
图3-2:资源管理器装好“照妖镜”时的设置
图4是装好“照妖镜”后,所见隐藏着的病毒。根目录下的三个文件:RavMonE.exe,RavMonLog,msvcr71.dll。RavMonE.exe 这个病毒体主程序就是通过autorun.inf 告知Windows系统得以运行的。
图4:病毒文件的真实面目
后注:病毒体程序也可能不放在根文件夹下,而是放在貌似回收站英文名的文件夹内,可能还层层深入躲避查杀,总之,我们可利用Windows记事本来打开 autorun.inf(不可双击 autorun.inf,切记)找出病毒的藏身之所。
